Сообщения без ответов | Активные темы Текущее время: 12 дек 2019, 17:39



Ответить на тему  [ Сообщений: 6 ] 
LobbyAdmin в WLC4400 через радиус. 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 2111
Добрый день.

Есть беспроводной контроллер WLC 4402.
Менеджмент аутентификация и авторизация на контроллере осуществляется через радиус (Win2008R2 NAP).
Появилась необходимость часть юзеров домена сделать LobbyAdmin-ами с правом заведения гостевых временных учеток. Права администратора этим людям давать нельзя.
Можно ли это как то сделать через радиус, путем выставления какого-либо атрибута?
В мануале написанно только про локальные учетки LobbyAdmin - что мягко говоря не удобно.


11 апр 2011, 10:58
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Возникает вопрос: а гостевые записи где будут? Локальные? Но при этом Амбассадор - из РАДИУСа?

Если заводить гостей а AD, то понятно, что никакой Амбассадор не нужен. А если локальных - то может ЛОбби локальный сгодится?
Я рассуждаю,т.к. такую роль на РАДИУСе не настраивал. Подозреваю, что там сильно кастомизированные права и стандартные РАДИУС не имеет такого хитрого атрибута. Возможно, цискин ACS имеет. Не проверял.


11 апр 2011, 12:09
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 2111
Собственно да, предполагается сделать гостевые учетки именно локальными, дабы не захломлять AD непонятными записями. При этом контроллер сделать это позволяет параллельно с менеджмент-авторизацией через радиус. Не понятно только с атрибутом. Попробую накопать что-нибудь.


11 апр 2011, 12:23
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 2111
Да будет гугль...

http://www.cisco.com/en/US/tech/tk722/t ... 1921.shtml

Сейчас попробую применить это к NS NAP.
По крайней мере атрибут такой там есть:)


11 апр 2011, 12:45
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
ЦИска хитрая: через стандартный атрибут передает :) Правда, догадаться об этом невозможно - этот атрибут в классическом IETF RADIUS совсем за другое отвечает :) Ну собсно, разницы-то никакой, через что передать роль.

Единственно, это для версии аж 3.2 и для контроллера 2600 (старенького) со старой ОС. Но вполне может сработать


11 апр 2011, 13:07
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 2111
ыыы.... получилось!

В общем достаточно атрибута: service type: callback-administrative.
Контроллер 4402, версия 7.ххх - т.е. последняя.

Вот.
Надеюсь будет полезно кому-нибудь. Ну или просто для инфо.


11 апр 2011, 13:13
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 6 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB