<br><div class="gmail_quote"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div class="im"><br>
><br>
> 1) Would PEAP/EAP-MSCHAPv2 with client certs accomplish my goal?<br>
<br>
</div>No. Because your problem has nothing to do with authentication (methods).<br>
Your problem is with authorization.</blockquote><div>Thanks for your reply.<br><br> I am not sure I understand your distinction, sorry for my ignorance. I want my users to <br>have to supply both a valid domain user/password combo AND I want their computers to prove that they are allowed on the lan. My understanding of the PEAP/EAP-MSCHAPv2 + cert approach was that my users (and their computers) would need both sorts of credentials in order to use the lan.<br>
 </div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><br>
<div class="im"><br>
> 2) Is there a better approach?<br>
<br>
</div>That depends on your hardware. If your switches support port based<br>
authentication and dynamic VLAN assignment via radius you can make this<br>
work.</blockquote><div>The switches are configured to use dot1x. Is that what you mean? I am not using dynamic vlans. My intention is that users who sucessfuly authenticate will by switched according to the vlan rules in place on the port on the NAS.<br>
<br> </div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><br>
<div class="im"><br>
> 4) Eventually I'll want to extend this approach to wireless devices so<br>
> that<br>
> trusted computers will get LAN services while untrusted computers with<br>
> valid<br>
> user credentials will be handed off to a different VLAN.<br>
<br>
</div>Same principle applies. But authenticating devices is not very wise. It's<br>
far better to authenticate users.</blockquote><div>Does my explanation above make this moot?<br> </div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<br>
<br>
And it is far better to have equipment that places unauthenticated users<br>
in a guest VLAN, than to break authentication and make radius accept users<br>
that fail authentication.</blockquote><div>Understood.<br><br><br>Thanks again. I'll be interested to read your reply.<br><br>John<br></div></div><br>