如何限制PEAP/非CIFS的活动目录帐户

Question

我们有一些voip电话，我们想要集成到我们的PEAP WiFi网络，我关心的只是创建一个标准的AD帐户和使用。如果有人获得了这样的长期帐户凭据，他们就可以使用它们登录主机并访问网络资源。

有一些策略/设置选项可以锁定本地访问，但它们不适用于网络访问。例如，“登录到”选项允许您限制帐户可以访问的计算机，但是与NPS/域控制器对话的WiFi接入点似乎使用主机“即它没有设置该变量”。整个解决方案似乎只对域(成员Windows计算机)起作用，所以如果用户来自Unix/Mac系统(当然也可以是PEAP )，就不会起作用了。

这可以扩展到一个关于如何使用Active Directory进行非Windows身份验证(例如LDAP)的更普遍的问题。我没有看到任何真实的答案，所以担心这可能是不可能的--但你必须问对吧？

Answer 1

我解决这个问题的方式(我不是说这是“行业标准”或“最佳实践”)是创建一个他们可以使用的帐户(就像一个服务帐户)，把它放在一个专门为它创建的组中(并在NPS中用于策略匹配)，使该组成为主帐户，并从域用户中删除它们。这样，即使有人设法获得密码，他们也只能使用“认证用户”访问任何东西，而我们根本不使用这些用户。

如果我们发现帐户已被破坏，我们只需创建一个新帐户与新密码，更改电话启动配置文件，一旦所有手机获得新的设置，关闭旧帐户。

至于使用非用户数据库，可以这样做，但您必须添加一个非NPS RADIUS服务器。我尝试了很长一段时间来使用FreeRadius来获得一个Ubuntu服务器，但是它最终花费了太多的时间来学习如何正确地集成它，所以我回到了NPS。NPS有一种方法可以指定对于给定的条件，它应该将请求传递给外部RADIUS服务器，所以这是绝对可能的。