Назад | Перейти на главную страницу

как ограничить учетную запись Active Directory только для PEAP / не-CIFS

У нас есть несколько телефонов VoIP, которые мы хотим интегрировать в нашу сеть Wi-Fi PEAP, и меня беспокоит просто создание стандартной учетной записи AD и ее использование. Если кто-то завладеет такими долгосрочными учетными данными, он сможет использовать их для входа на хосты и доступа к сетевым ресурсам.

Есть несколько параметров политики / настроек для блокировки локального доступа, но они не применяются к сетевому доступу. например, опция «Log On To» позволяет вам ограничить, к каким машинам может получить доступ учетная запись, но точка доступа Wi-Fi, взаимодействующая с NPS / контроллером домена, похоже, использует хост «» - т.е. она не устанавливает эту переменную. Кажется, что все это решение работает только с компьютерами с Windows, входящими в домен, поэтому не поможет, если пользователь зашел, например, из системы Unix / Mac (или PEAP, конечно).

Это можно расширить до более общего вопроса о том, как использовать Active Directory для аутентификации, отличной от Windows (например, LDAP). Я не видел никаких реальных ответов и поэтому боюсь, что это может быть невозможно - но вы должны спросить, верно? :-)

Я решил эту проблему (и я не говорю, что это «отраслевой стандарт» или «лучшая практика») заключалось в том, чтобы создать единую учетную запись, которую они могли бы использовать (например, учетную запись службы), поместить ее в группу, созданную специально для этого. (и используется в NPS для сопоставления политик), сделайте эту группу основной и удалите их из пользователей домена. Таким образом, даже если кому-то удастся получить пароль, он получит доступ только к чему-либо с помощью «Прошедших проверку пользователей», которые мы вообще не используем.

В случае, если мы обнаружим, что учетная запись была взломана, мы просто создадим новую учетную запись с новым паролем, изменим файл конфигурации запуска телефона и, как только все телефоны получат новые настройки, удалим старую учетную запись.

Что касается использования базы данных пользователей, не относящейся к Active Directory, это можно сделать, но вам придется добавить сервер RADIUS, не относящийся к NPS. Я долгое время пытался заставить сервер Ubuntu с FreeRadius сделать это, но в итоге у меня ушло слишком много времени, чтобы научиться правильно интегрировать его, поэтому я вернулся к NPS. У NPS есть способ указать, что для заданных критериев он должен передавать запрос внешнему серверу RADIUS, так что это определенно возможно.