Anticisco
https://anticisco.ru/forum/

LobbyAdmin в WLC4400 через радиус.
https://anticisco.ru/forum/viewtopic.php?f=9&t=1658
Страница 1 из 1

Автор:  P@ve1 [ 11 апр 2011, 10:58 ]
Заголовок сообщения:  LobbyAdmin в WLC4400 через радиус.

Добрый день.

Есть беспроводной контроллер WLC 4402.
Менеджмент аутентификация и авторизация на контроллере осуществляется через радиус (Win2008R2 NAP).
Появилась необходимость часть юзеров домена сделать LobbyAdmin-ами с правом заведения гостевых временных учеток. Права администратора этим людям давать нельзя.
Можно ли это как то сделать через радиус, путем выставления какого-либо атрибута?
В мануале написанно только про локальные учетки LobbyAdmin - что мягко говоря не удобно.

Автор:  Fedia [ 11 апр 2011, 12:09 ]
Заголовок сообщения:  Re: LobbyAdmin в WLC4400 через радиус.

Возникает вопрос: а гостевые записи где будут? Локальные? Но при этом Амбассадор - из РАДИУСа?

Если заводить гостей а AD, то понятно, что никакой Амбассадор не нужен. А если локальных - то может ЛОбби локальный сгодится?
Я рассуждаю,т.к. такую роль на РАДИУСе не настраивал. Подозреваю, что там сильно кастомизированные права и стандартные РАДИУС не имеет такого хитрого атрибута. Возможно, цискин ACS имеет. Не проверял.

Автор:  P@ve1 [ 11 апр 2011, 12:23 ]
Заголовок сообщения:  Re: LobbyAdmin в WLC4400 через радиус.

Собственно да, предполагается сделать гостевые учетки именно локальными, дабы не захломлять AD непонятными записями. При этом контроллер сделать это позволяет параллельно с менеджмент-авторизацией через радиус. Не понятно только с атрибутом. Попробую накопать что-нибудь.

Автор:  P@ve1 [ 11 апр 2011, 12:45 ]
Заголовок сообщения:  Re: LobbyAdmin в WLC4400 через радиус.

Да будет гугль...

http://www.cisco.com/en/US/tech/tk722/t ... 1921.shtml

Сейчас попробую применить это к NS NAP.
По крайней мере атрибут такой там есть:)

Автор:  Fedia [ 11 апр 2011, 13:07 ]
Заголовок сообщения:  Re: LobbyAdmin в WLC4400 через радиус.

ЦИска хитрая: через стандартный атрибут передает :) Правда, догадаться об этом невозможно - этот атрибут в классическом IETF RADIUS совсем за другое отвечает :) Ну собсно, разницы-то никакой, через что передать роль.

Единственно, это для версии аж 3.2 и для контроллера 2600 (старенького) со старой ОС. Но вполне может сработать

Автор:  P@ve1 [ 11 апр 2011, 13:13 ]
Заголовок сообщения:  Re: LobbyAdmin в WLC4400 через радиус.

ыыы.... получилось!

В общем достаточно атрибута: service type: callback-administrative.
Контроллер 4402, версия 7.ххх - т.е. последняя.

Вот.
Надеюсь будет полезно кому-нибудь. Ну или просто для инфо.

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/