:strip_exif()/u/394658/geek-tweak-mini.gif?f=community)
Hallo,
Ik ben met een klein projectje bezig. Ik heb een windos 2008 R2 server, met daarop een AD. Deze draait ook de NPS service. Er zijn 2 groepen gebruikers, namelijk: VPN Users en Wifi Users. Deze werken netjes zoals het hoort.
Nu wil ik een 3e groep maken, waar gebruikers in komen, die ook in 1 of beide van de andere groepen zitten. Wat ik wil, is dat deze groep zorgt voor een selectie, of NPS hem lokaal verifieerd, of extern op een 2e radius server. In dit geval gaat het namelijk om het gebruik van een YubiKEY voor 2-factor authentication.De groep die ik nu wil maken, is voor de gebruikers van de YubiKEY, en deze moeten doorgestuurd worden naar de externe server. Omdat deze server geen authenticatie zonder key kan doen, kan ik dus niet al het verkeer hierheen sturen.
Nu heb ik in de NPS policy's zitten spitten, maar ik kan geen optie vinden om aan de hand van de gebruikersgroep te bepalen naar welke AAA hij gaat, dus local of extern. Ik kan het wel op basis van IP van de NAS, maar dan zit ik nog met het probleem dat daar zowel gebruikers met als zonder key in zitten.
Heeft iemand een idee hoe ik dit voor elkaar kan krijgen?
(Of: weet iemand hoe ik yubiradius zover krijg dat hij dat onderscheid kan maken, dan kan ik alles daar heen gooien, en selecteerd hij het... wich ever way works
)
Alvast dank
Bart
Ik ben met een klein projectje bezig. Ik heb een windos 2008 R2 server, met daarop een AD. Deze draait ook de NPS service. Er zijn 2 groepen gebruikers, namelijk: VPN Users en Wifi Users. Deze werken netjes zoals het hoort.
Nu wil ik een 3e groep maken, waar gebruikers in komen, die ook in 1 of beide van de andere groepen zitten. Wat ik wil, is dat deze groep zorgt voor een selectie, of NPS hem lokaal verifieerd, of extern op een 2e radius server. In dit geval gaat het namelijk om het gebruik van een YubiKEY voor 2-factor authentication.De groep die ik nu wil maken, is voor de gebruikers van de YubiKEY, en deze moeten doorgestuurd worden naar de externe server. Omdat deze server geen authenticatie zonder key kan doen, kan ik dus niet al het verkeer hierheen sturen.
Nu heb ik in de NPS policy's zitten spitten, maar ik kan geen optie vinden om aan de hand van de gebruikersgroep te bepalen naar welke AAA hij gaat, dus local of extern. Ik kan het wel op basis van IP van de NAS, maar dan zit ik nog met het probleem dat daar zowel gebruikers met als zonder key in zitten.
Heeft iemand een idee hoe ik dit voor elkaar kan krijgen?
(Of: weet iemand hoe ik yubiradius zover krijg dat hij dat onderscheid kan maken, dan kan ik alles daar heen gooien, en selecteerd hij het... wich ever way works
)Alvast dank
Bart
If it ain't broken, fix it until it is!