尝试为大学网络配置 RADIUS,但遇到以下问题:
我无法在网络策略规则中为经过身份验证的对象的组成员身份设置“AND”条件,例如,我试图创建一个 NPS 规则,该规则本质上是“如果用户是 [用户组列表] 的成员和正在从 [无线计算机组] 中的计算机进行身份验证,然后允许访问。
上面的截图是我遇到问题的规则。它不能按写的那样工作。下面的规则除了条件规则外,其他方面都相同,但确实有效。
我尝试更改不起作用的规则,将每组组定义为“Windows 组”而不是专门定义为机器和用户组,但没有任何变化。
在启用“故障”规则并禁用正常工作的规则的情况下,任何试图从无线计算机组中的计算机使用有效帐户登录的行为都会在 Windows 事件日志中产生 6273 审核事件:原因代码 66 - “用户试图使用匹配网络策略中未启用的身份验证方法”。禁用“故障”规则,启用其他规则并使用相同的帐户和计算机登录即可。
答案1
在“条件”选项卡下,不是将所有组都添加到一个条件规则中,而是向每条规则/行添加一个组。基本上,添加一个用户组,然后单击“添加”,然后再次执行此操作,您将在条件列下看到“用户组”列表。当您将所有组都添加到一个条件行中时,它们默认为 OR。
答案2
您所描述的听起来像是绑定身份验证。这意味着用户无法通过 802.1x 成功进行身份验证,除非他们首先拥有有效的机器会话。如果这是您需要完成的,那么根据我的经验,它通常会在 WLC 上强制执行,而不是 Radius。