管理 Wifi 客户端

网络工程 思科 无线的 无线通讯 半径 思科无线
2021-08-03 15:58:55

我们有 20 个位置和大约 150 个膝上型客户端,每个位置都有 Cisco WLC 5508。现在每个人都使用在所有 WLC 上单独配置的相同密码。

有没有什么管理软件可以远程在所有笔记本电脑上自动设置WiFi密码?- 我不希望用户使用他们的 Windows 凭据(因此他们不连接手机) - 不允许用户知道密码(同理)

理想是: - 我在 ACS 中配置用户名/密码 - 我以某种方式在用户 PC 上发送(设置)用户名/密码(来自 ACS)(这是问题) - 用户连接到网络(如果用户在 AD 中的 WiFi 组中)并通过 ACS 进行身份验证)。
- 如果我决定更改网络密码,我会在 ACS 中更新 wifi 凭据,并且所有用户都会在其笔记本电脑上获得此更新后的凭据。

现在每次我们更改密码时,我们都会为用户更新密码而头疼。

更新: 感谢我们的回复。我正在考虑这个并实际配置了基于机器的身份验证。它通过 PEAP 工作。然后我想如果有人不希望有 wifi 访问登录到那台笔记本电脑(因为员工总是把笔记本电脑放在无人看管的桌子上)。我试图找到一种方法来执行机器和用户身份验证,但找不到解决方案,除非我将所有笔记本电脑添加到 ACS 并创建主机组,然后通过 PEAP 使用用户身份验证。我在想更多关于两步过程。第 1 步:软件或硬件(我需要什么)负责处理设备凭据并保存它(假设只有笔记本电脑有 WiFi 凭据)第 2 步:ACS 检查 AD 组中允许的用户、时间、位置等PS 可能是我想要的太多了,不过我觉得应该有解决办法的。

2个回答

我不希望用户使用他们的 Windows 凭据(因此他们不连接手机)-不允许用户知道密码(原因相同)

正如您提到的 Windows 和 ACS,您仍然可以通过 dot1X使用用户凭据,而不允许他们通过电话进行连接。只要您在 ACS 中进行机器身份验证并要求在无线配置文件中的 Windows 中进行计算机身份验证,则只允许加入与 ACS 相关联的 AD 域的计算机。

ACS 机器访问限制

在 Windows 无线配置文件中,在Advanced Settings 下身份验证模式将为“用户或计算机身份验证”。此设置命名不当,因为它既可以是用户身份验证,也可以是计算机身份验证。当 Windows 启动但在用户登录之前,并假设现有无线配置文件,计算机身份验证将使用与 AD 相关联的计算机帐户进行。用户登录后,用户帐户将发生另一个 dot1X AuthN 事件。计算机AuthN和用户AuthN之间的时间必须在上图ACS Machine Access Restrictions中Aging time指定的窗口内,否则用户AuthN会反复失败。我保持这个老化时间很宽以防止出现问题,这显然需要反映您对组织的安全容忍度。

Windows 无线配置文件计算机用户 AuthN

有一段时间没有在 AD 中处理 OU,但如果我没记错的话,您可以使用组策略更新所有 Windows 客户端上的密码。

在部署之前,我会认真测试这一点。

快速谷歌搜索显示了许多链接和方法。 http://www.techrepublic.com/blog/the-enterprise-cloud/change-local-username-and-password-via-group-policy/

其它你可能感兴趣的问题
上一篇将路由指向不直接连接的下一跳 下一篇如何利用ISP提供的IP池中的多个IP地址