Aruba 802.1X with Windows return attribute

 Aruba 802.1X with Windows return attribute 

當Aruba controller設定802.1X認證，認證Server是使用外部的Windows radius server的時候，我們可以在Windows server上設定return attribute。

可以達到特定的使用者用特定的帳號密碼登入時，可以拿到指定的vlan(動態vlan)或是user-role，本文示範拿到指定vlan的設定方式。

像是IT部門拿到IT部門的vlan、經理室的人員拿到經理室人員的vlan。

Aruba controller就正常設定，驗證Server指到Windows radius

可以透過指令檢視Aruba controller支援的attribute的相關參數

可以看到Aruba-User-Vlan的Id是14823、Value是2

Aruba-User-Role的id是14823、Value是1

Windows要新增群組，將要分配給特定vlan的成員放進群組

附圖有三個群組vlan13,vlan14,vlan18

 

裡面各有User vlan13,vlan14,vlan18

確認好AD使用者與電腦那邊設定好群組，並分配好成員之後，到NPS來做設定

Windows的NPS設定Radius客戶端

網路原則設定三個不同的原則，分別是vlan13,vlan14,vlan18

這邊展示vlan13要如何設定，先新增網路原則並輸入名稱

指定條件的地方新增剛剛設定好，相對應的群組

再新增802.1X wirelss

指定存取權限設定授予存取權

驗證方法選擇peap並選擇正確的Server certificate

重點在這個設定設定值的部份，一般的Radius驗證這邊不會進行設定

廠商特定的地方新增一個特定屬性

選擇Vendor-Specific並點選新增

進入屬性資訊之後點選新增

之後輸入廠商代碼14823，因為我們要做的return vlan attribute的Id是14823、Value是2

設定屬性的部份設定成2

之後跳出來會長這樣，Radius會回應Aruba controller的時候會return vlan13的值給controller，User就會被分配到vlan13

最後檢視設定