@ITF

Как реализовать получение IP адреса в зависимости от авторизации пользователя?

Есть сервер Win2012R2 - AD, DNS, DHCP.
Заведены пользователя, в DHCP забиты области для выдачи по подсетям (в дальнейшем VLAN), их например 3:
1. 192.168.1.0/24 - Клиенты
2. 192.168.2.0/24 - Сотрудники
3. 192.168.3.0/24 - Все остальные.

Что нужно прикрутить, что бы пользователь с членством в группе "Клиенты" попадал в первую подсеть, а с членством "Сотрудники" во вторую, а компьютеры которые просто подключены к сети в третью (сеть по умолчанию, до авторизации)?

Поднимал на Hyper-V второй сервер с ролью NPS (Network Protection Service), но по политикам которые там есть, не углядел привязку к пользователям.
Правильно понимаю что это надо смотреть связку DHCP NAP?
Или есть например NAP + 802.1x (кабель) - я так подозреваю, ещё прикручивается Radius сервер и раздача идёт на уровне оборудования, с тегированием портов.

Большинство учебных видео материалов по NPS далеко не углубляются, ограничиваясь "жмите далее, далее, далее, готово", особо не объясняя для чего и почему. В текстовом виде кажутся устаревшими, 2008-2012 г.

Изначальная задача звучит так:
Нужно что бы пользователь, в какую бы сетевую розетку не воткнулся, или с какого бы компьютера не заходил, попадал в свой VLAN (своими маршрутами, доступом к внутренним ресурсам на сетевом уровне). Левые компьютеры или неизвестные устройства просто бы висели в своей сети (что собственно бы спокойно мониторилось сканированием сети).

Где мне это может пригодиться. Например есть кабинет бухгалтерии. Порты для этого кабинета тегированы на оборудовании, т.е. как бы хабами кабинет не разбавляй - все будут в одной сети, и есть четкое понимание что это бухгалтера.
А общий кабинет, туда могут сесть сотрудники разных подразделений - бухгалтер, менеджер. Со своим рабочим ноутом (заведенным в домен) или у коллег одолжить (то же заведенным в домен). И собственно в сети они пересекаться не должны, единственный вариант определить кто есть кто - учётная запись. В этот же кабинет может оказаться клиент (в домен не заведен), которому нужно минут 40 поработать и кроме доступа к сети принтеров или интернету его вообще никуда больше не пускать.

Может кто собственно на пальцах разжевать как подобное реализовать и куда копать за подробностями?
  • Вопрос задан
  • 485 просмотров
Решения вопроса 1
POS_troi
@POS_troi
СадоМазо Админ, флудер, троль.
Для этого всего в принципе 802.1x и придуман :)
https://habr.com/ru/post/138889/
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
mikes
@mikes
управляемый коммутатор + windows NPS (или любой другой RADIUS) + назначение vlan группам пользователей.

untagged vlan на портах будет динамически назначаться в зависимости от принадлежности пользователя (или компьютера) к группе в AD
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы