NxFilter Tutorial
  • EN English
  • DE Deutsch
  • ES Español
  • FR Français
  • IT Italiano
  • JP 日本語
  • BR Português
  • RU Русский
  • TR Türkçe
Einmalige Anmeldung über 802.1X
NxFilter unterstützt Single Sign-on durch 802.1X Wi-Fi-Authentifizierung mit seinem integrierten RADIUS-Accounting-Server. Sie können Single Sign-On für Smartphones und andere mobile Geräte in Ihrem Netzwerk durchführen. Da Sie Benutzer und Gruppen aus Active Directory, Google G Suite und LDAP importieren können, können Sie Ihre Benutzer NxFilter mit ihren AD- oder Google-Benutzernamen angezeigt werden.

So funktioniert es
Wir verwenden das RADIUS-Accounting-Protokoll, um Benutzernamen von der Wi-Fi-Authentifizierung zu erfassen. NxFilter arbeitet als RADIUS-Accounting-Server Server und Sie müssen Ihren Wi-Fi-Router so einstellen, dass er RADIUS-Accounting-Anfragen an NxFilter sendet. Dabei ist zu beachten, dass NxFilter die RADIUS-Authentifizierung nicht selbst durchführt. Sie führen die RADIUS-Authentifizierung mit Ihrem eigenen Authentifizierungsserver. Wenn Sie sich in einer Active Directory-Umgebung befinden, wäre Ihr Authentifizierungsserver Ihr Windows Netzwerkrichtlinien-Server.

Sie können NxFilter als RADIUS-Accounting-Server mit einem Tool wie NTRadPing testen.

GUI-Optionen
Nachdem Sie diese Optionen auf der GUI geändert haben, müssen Sie NxFilter neu starten.

- Accounting Port

Der Port, an dem Sie RADIUS-Accounting-Anfragen empfangen. Wir verwenden UDP/1813 standardmäßig.

- Shared Secret

Gemeinsame geheime Zeichenfolge für Ihren Wi-Fi-Router zur Kommunikation mit NxFilter.

- Enable Logout

Benutzer-Login-Sitzung zerstören, wenn der Statustyp einer Abrechnungsanforderung "Stop" ist.

- Auto-register for New User

Wenn es einen unbekannten Benutzernamen für NxFilter gibt, können Sie automatisch einen Benutzer mit dem unbekannten Benutzernamen erstellen.

- Default Group for New User

Sie können eine Standardgruppe für die neu erstellten Benutzer festlegen.

- Local Domain

Wenn Sie Benutzernamen in einem E-Mail-Formular erhalten (uname@mydomain.loal), können Sie die zu entfernenden Domänen angeben. Standardmäßig, NxFilter entfernt den Domänenteil immer aus einem E-Mail-Formular-Benutzernamen.

- Use RADIUS

RADIUS-Konto-Server ausführen.

Active Directory-Integration
Importieren Sie zunächst Benutzer und Gruppen aus Ihrem Active Directory auf User > Active Directory. Danach müssen Sie den integrierten RADIUS-Accounting-Server von NxFilter auf User > RADIUS. Meistens brauchen Sie dort nichts zu ändern, außer Shared Secret. Zum Schluss implementieren Sie die 802.1X-Authentifizierung mit Ihrem Wi-Fi-Router und Windows NPS (Network Policy Server).

Um Windows NPS einzurichten, lesen Sie den NPS-Einrichtungsteil von Verwalten der RADIUS-Authentifizierung mit UniFi

Dies ist das Bild unserer NPS-Einrichtung.

Und unten sehen Sie die Aufnahme unserer Unifi-Router-Einrichtung.

Verzögerung für den ersten Kontakt
Die erste RADIUS-Accounting-Anfrage nach der Anmeldung eines Benutzers über die Wi-Fi-Authentifizierung verzögert sich um mehrere Sekunden. Ein Problem ist, dass Ihre Benutzer von NxFilter als nicht authentifizierte Benutzer blockiert werden könnten. Die Lösung besteht darin, einen Standardbenutzer zu erstellen, der einem IP-Bereich, der alle IP-Adressen in Ihrem Netzwerk abdeckt. Ihre authentifizierten Wi-Fi-Benutzer werden als Standardbenutzer angezeigt für einige Sekunden als Standardbenutzer angezeigt, bevor NxFilter die erste RADIUS-Accounting-Anfrage empfängt, und dann werden sie mit ihren eigenen Benutzernamen angezeigt.

Automatische Registrierung für neue Benutzer
Es kann sein, dass Sie einige Gastbenutzer haben, die Ihr Netzwerk vorübergehend über 802.1X Wi-Fi-Authentifizierung durch einen Authentifizierungsdienst eines Drittanbieters wie Eduroam nutzen. Sie sind nicht in Ihrer Benutzerdatenbank, aber sie sind authentifizierte Benutzer. Sie möchten ihnen die Nutzung Ihres Netzwerks gestatten, sie aber mit ihren Benutzernamen überwachen und eine Richtlinie auf sie als Gruppe anwenden. Wenn Sie nur eine kleine Anzahl von Besuchern haben, können Sie dies tun, indem Sie diesen Gastbenutzern temporäre Benutzernamen zuweisen. Aber wenn Hunderte von ihnen kommen und gehen, sollten Sie dies nicht manuell tun.

Für diese Art von Situation haben wir 'Auto-register for New User' Option. Wenn diese Option aktiviert ist, wenn NxFilter einen neuen Benutzernamen in einer RADIUS-Accounting-Anfrage findet, wird er einen Benutzer mit diesem Benutzernamen erstellen. Sie können auch eine Standardgruppe für diese neuen Benutzer mit der Option 'Default Group for New User' festlegen.

Bevor Sie jedoch die Option 'Auto-register for New User'aktivieren, sollten Sie eine Sache bedenken. Diese Besucher-Benutzer verwenden höchstwahrscheinlich E-Mail-Formular-Benutzernamen wie "uname@visitor.com", um sich von anderen Benutzern der Organisation zu unterscheiden. Wie auch immer, NxFilter entfernt jedoch standardmäßig den Domänenteil eines E-Mail-Formular-Benutzernamens. Um die Domänen in diesen Besucher-Benutzernamen beizubehalten, können Sie Folgendes angeben Local Domain. Wenn Sie angeben Local Domain, entfernt NxFilter nur die angegebenen Domänen.

Sie können mehrere lokale Domänen durch Kommas getrennt hinzufügen.