我们有一些 VOIP 电话,希望将它们集成到我们的 PEAP WiFi 网络中,我担心的是只创建一个标准 AD 帐户并使用它。如果有人掌握了此类长期帐户凭据,他们就可以使用它们登录主机并访问网络资源
有一些策略/设置选项可以锁定本地访问,但它们不适用于网络访问。例如,“登录到”选项允许您限制帐户可以访问的机器,但与 NPS/域控制器通信的 WiFi 接入点似乎使用主机“” - 即它没有设置该变量。整个解决方案似乎只适用于域成员 Windows 计算机 - 因此如果用户来自 Unix/Mac 系统(当然是 PEAP),则不会有帮助
这可以扩展为一个更一般的问题,即如何使用 Active Directory 进行非 Windows 身份验证(例如 LDAP)。我还没有看到任何真正的答案,所以担心这可能无法实现 - 但你必须问,对吧?:-)
答案1
我解决这个问题的方法(我并不是说这是“行业标准”或“最佳实践”)是创建一个他们可以使用的帐户(如服务帐户),将其放在专门为此创建的组中(并在 NPS 中用于策略匹配),将该组设为主要组,并将其从域用户中删除。这样,即使有人设法获取密码,他们也只能使用“经过身份验证的用户”访问任何内容,而我们根本不使用“经过身份验证的用户”。
如果我们发现帐户已被泄露,我们只需创建一个带有新密码的新帐户,更改手机启动配置文件,一旦所有手机都获得新设置,就可以终止旧帐户。
至于使用非 Active Directory 用户数据库,这是可以做到的,但您必须添加非 NPS RADIUS 服务器。我尝试了很长时间才让 Ubuntu 服务器与 FreeRadius 一起实现这一点,但最终花了太多时间学习如何正确集成它,所以我又回到了 NPS。NPS 有一种方法可以指定对于给定的条件,它应该将请求传递给外部 RADIUS 服务器,所以这绝对是可能的。