Autenticazione port Cisco Dot1x – VLAN selezionata in base a quale dominio l'utente accede al computer?

Attualmente la mia azienda è stata acquistata da un altro. A causa di questo, altri utenti di due società migreranno nel nostro ufficio.

Sarebbe super comodo se potessimo avere il vlan scelto per l'utente in base a quale dominio cercano di accedere all'utilizzo di dot1x.

  • Come posso impedire Apache di esporre la password di un utente?
  • Bloccare Facebook e Myspace per indirizzo IP
  • Dizionario DNS di Cisco o Hairpinning?
  • Perché Mac OSX Lion perde login / credenziali di networking?
  • Polizia di base di Cisco ASA 5510
  • Imansible accedere all'unità condivisa quando si connette tramite VPN
  • EG Vlans

    • 100 CompanyA
    • 200 CompanyB
    • 300 CompanyC

    Qualcuno inserisce un computer porttile su una scrivania, si collega alla port di networking e preme CTRL-ALT-DEL, seleziona il nome di dominio CompanyB e accede.

    Il risultato che voglio è che dot1x sia in grado di capire che si tratta di un utente di CompanyB e di impostare la port di networking per riflettere dynamicmente vlan 200.

    Possibile?

  • Usando 4 canali wifi piuttosto che 3
  • Carica test delle LAN wireless
  • I pacchetti wifi vanno direttamente al nodo?
  • linux 802.1x su una networking cablata con Windows
  • PXE in un ambiente 802.1X
  • Interferenza wireless LAN
  • 3 Solutions collect form web for “Autenticazione port Cisco Dot1x – VLAN selezionata in base a quale dominio l'utente accede al computer?”

    Hai bisogno di server RADIUS (probabilmente FreeRADIUS) che invia ulteriori attributi.

    In particolare, deve submit alcuni attributi specifici, per i dettagli vedere RFC2868

    Questo è ciò che utilizzo per i client wireless, ma funziona lo stesso per 802.1X cablato:

    • Tunnel-Type = VLAN,
    • Tunnel-Medium-Type = IEEE-802,
    • Tunnel-Private-Group-Id = 1234

    Dove 1234 è l'ID VLAN richiesto.

    Naturalmente devi controllare che il tuo switch support tali attributi. Può anche sostenere alcuni altri attributi che raggiungono la stessa cosa, l'esempio sopra funziona con Cisco.

    Puoi guardare a fare qualcosa di simile a packetfence http://www.packetfence.org/ Può eseguire un controllo di accesso basato su Ruoli, che sembra che sia esattamente quello che stai cercando di fare.

    Questo non mi sembra vitale. Voglio dire, se si modifica la VLAN una port appartiene a "in volo", allora la port temporaneamente sta per andare in linea e poi tornerà … se non hai il port-fast abilitato, allora ha tutto passare attraverso il ciclo di ascolto / apprendimento / inoltro. Avrai anche i negoziati per la velocità di collegamento che dovranno passare, restituendo un nuovo indirizzo DHCP, comunicando con il controller di dominio … ecc. E così via. Insum, i tuoi tempi di accesso sarebbero orrendi.

    Il tuo post dice che le persone stanno facendo "piegare un computer porttile". Suppongo che i nuovi dipendenti delle altre aziende lavoreranno su computer porttili da quelle aziende, giusto? Invece di farli colbind alla networking, perché non si va senza fili? Quindi puoi impostare più SSID sui tuoi AP e mappare each SSID nella VLAN che desideri che il dispositivo acceda. Potresti assegnare una password per i dispositivi della società A e un'altra password per la società B.

    Gli utenti finali non ottengono le password, ei dipendenti della società A non utilizzano i computer porttili della società B e viceversa. Ognuno è sulla VLAN e il dominio che vuoi. I computer porttili della società B si uniscono automaticamente al SSID della società B, ecc.

    Inoltre, non si desidera veramente le porte aperte della networking in cui solo chiunque può entrare e entrare nella networking.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.