В настоящее время я работаю над решением Microsoft NPS, чтобы обеспечить аутентификацию 802.1x MAC для проводных и беспроводных клиентов, а также предоставить VLAN для клиентов, которые будут перемещены.
В настоящее время он идеально работает с нашими беспроводными точками доступа и коммутаторами, однако мы хотели бы, чтобы сервер NPS / RADIUS отвечал с помощью Access-Accept, даже если MAC-адрес не может аутентифицироваться, что, в свою очередь, поместит клиента в гостевую / регистрацию VLAN.
Можно ли создать политику или правило на сервере NPS, которое будет иметь эффект авторизации MAC-адресов, которых нет в базе данных, и предоставления соответствующего тега VLAN?
Мы уже используем поле vlan / tunnel-id для тегов vlan для авторизованных пользователей, и это здорово.
Спасибо
Иногда аутентификатор (в зависимости от поставщика) может действовать в случае отказа в доступе по своей задумке, чтобы поместить конечное устройство в удерживающую VLAN. Кто-то может назвать это vlan с ошибкой аутентификации, но каждый поставщик, реализующий подобную функцию, имеет немного другое название.
Мне еще предстоит найти в NPS что-либо, что могло бы дать такой же результат.
Juniper называет это server-reject-vlan - http://www.juniper.net/techpubs/en_US/junos9.3/topics/reference/configuration-statement/server-reject-vlan-edit-protocols-dot1x-authenticator-interface-802-1x.html