我们有一些VoIP电话,我们想要融入到我们的PEAP WiFinetworking,我很关心只是创build一个标准的AD帐户,并使用它。 如果有人获得了这样的长期帐户凭证,他们就可以使用它们login主机并访问networking资源
有一些策略/设置选项用于locking本地访问,但不适用于networking访问。 例如,“login到”选项允许您限制帐户可以访问的机器,但与NPS /域控制器交谈的WiFi访问点似乎使用主机“” – 即不设置该variables。 整个解决scheme似乎只对域成员的Windows计算机工作 – 如果用户来自Unix / Mac系统(例如PEAP)
这可以扩展为关于如何使用Active Directory进行非Windows身份validation(例如LDAP)的更一般的问题。 我还没有看到任何真正的答案,所以担心这可能是不可能的 – 但你要问的权利? 🙂
我解决这个问题的方式(我不是说这是“行业标准”或“最佳实践”)是创build一个他们可以使用的帐户(如服务帐户),将其放在为此创build的组中(并在NPS中用于策略匹配),将该组作为主要组,并将其从Domain Users中删除。 这样,即使有人设法获得密码,他们也只能使用“Authenticated Users”访问任何我们根本不用的东西。
如果我们发现帐户已经被盗用,我们只需要创build一个新的帐户,使用新的密码,更改电话启动configuration文件,一旦所有电话获得新的设置,杀死旧帐户。
至于使用非Active Directory用户数据库,可以完成,但是您必须添加一个非NPS RADIUS服务器。 我试了很长时间才得到一台配有FreeRadius的Ubuntu服务器来完成这个任务,但最终花费了太多的时间来学习如何正确地集成它,于是我又回到了NPS。 NPS有一种方法来指定,对于给定的标准,它应该将请求传递给外部RADIUS服务器,所以这是绝对有可能的。