802.1x автоматически проверяют сертификат в клиентах окон
Вам необходимо распространить сертификат вашего сервера RADIUS (если он самоподписанный) или сертификат центра сертификации, который подписал его, вашим клиентам.
Прямо сейчас вы сообщаете своим клиентам (или соискатели в 802.1X-ese), чтобы проверить доверительный путь сертификата вашего RADIUS-сервера. Я не знаю, как вы сгенерировали свою пару открытого и закрытого ключей для своего сервера RADIUS, но, вообще говоря, он будет либо самоподписанным, либо подписанным центром сертификации. В свою очередь, открытый ключ подписывающего центра сертификации будет распространяться среди клиентов либо через объекты групповой политики, службы сертификации Active Directory, либо он был включен Microsoft в репозиторий доверенного корневого центра сертификации.
Кто-нибудь знает, как этого избежать? Мы полностью готовы купить сертификат у Verisign, Thwarte и т. Д., Если это поможет, но мы попробовали наш SSL-сертификат Comodo с подстановочными знаками, который не исправил его.
Не рекомендуется иметь внешний корневой ЦС, подписывающий ваш RADIUS сертификат сервера.
Это из документации FreeRADIUS, но я полагаю, что он также действителен для реализации Microsoft:
В общем, вы должны использовать самозаверяющие сертификаты для 802.1x (EAP)
аутентификация. Когда вы перечисляете корневые центры сертификации других организаций в
"CA_file", вы разрешаете им маскироваться под вас для аутентификации
ваших пользователей, а также для выпуска клиентских сертификатов для EAP-TLS.
Эти машины принадлежат конечным пользователям, поэтому мы не можем легко контролировать настройки с помощью групповой политики или взлома реестра.
Ну вот и ваша проблема! Распространять сертификаты с помощью объектов групповой политики достаточно просто. Почему это не вариант в вашем случае? Если это не так, у вашего собственного звездообразного сертификата (который подписан корневым центром сертификации) вы могли бы подписать сертификат вашего сервера RADIUS?
РЕДАКТИРОВАТЬ: К сожалению, BYOD и WPA2-Enterprise на самом деле не предназначены для совместной работы. У вас есть три варианта:
- Настроить ваши клиенты так, чтобы они не проверяли доверительный путь сертификата вашего RADIUS-сервера (т. Е. Снимите отметку с поля с надписью «проверить сертификаты сервера»).
- Получите сертификат вашего RADIUS-сервера, подписанный «Внешним "ЦС, подписывающий сертификат которого распространяется в репозитории доверенного корневого центра сертификации (например, Verisign, Comodo и т. Д.).
- Настройте своего рода захватывающий портал, который действует как проситель от имени ваших клиентов.
Недостатками первых двух вариантов является то, что он открывает вашу схему 802.1X для атак MiTM. Я мог бы создать свой собственный сервер RADIUS и перехватить учетные данные вашего пользователя AD. Не идеальная установка, но ваш отдел должен будет провести анализ рисков. Если вы все же пойдете по этому пути, убедитесь, что вы документируете для целей CYA.
С точки зрения безопасности лучшим вариантом является установка адаптивного портала. Учащиеся могут использовать свои устройства BYOD для подключения и доступа к порталу, передавать свои учетные данные для аутентификации на портал, и портал может затем взаимодействовать с сервером RADIUS.
Eduroam - еще один популярный выбор для образовательных организаций.
Недостатками первых двух вариантов является то, что они открывают вашу схему 802.1X для атак MiTM. Я мог бы создать свой собственный сервер RADIUS и перехватить учетные данные вашего пользователя AD. Не идеальная установка, но ваш отдел должен будет провести анализ рисков. Если вы действительно идете по этому пути, убедитесь, что вы документируете для целей CYA.
С точки зрения безопасности лучшим вариантом является установка адаптивного портала. Учащиеся могут использовать свои устройства BYOD для подключения и доступа к порталу, передавать свои учетные данные для аутентификации на портал, и портал может затем взаимодействовать с сервером RADIUS.
Eduroam - еще один популярный выбор для образовательных организаций.
Недостатками первых двух вариантов является то, что они открывают вашу схему 802.1X для атак MiTM. Я мог бы создать свой собственный сервер RADIUS и перехватить учетные данные вашего пользователя AD. Не идеальная установка, но ваш отдел должен будет провести анализ рисков. Если вы все же пойдете по этому пути, убедитесь, что вы документируете для целей CYA.
С точки зрения безопасности лучшим вариантом является установка адаптивного портала. Учащиеся могут использовать свои устройства BYOD для подключения и доступа к порталу, передавать свои учетные данные для аутентификации на портал, и портал может затем взаимодействовать с сервером RADIUS.
Eduroam - еще один популярный выбор для образовательных организаций.
Не идеальная установка, но ваш отдел должен будет провести анализ рисков. Если вы действительно идете по этому пути, убедитесь, что вы документируете для целей CYA.С точки зрения безопасности лучшим вариантом является установка адаптивного портала. Учащиеся могут использовать свои устройства BYOD для подключения и доступа к порталу, передавать свои учетные данные для аутентификации на портал, и портал может затем взаимодействовать с сервером RADIUS.
Eduroam - еще один популярный выбор для образовательных организаций.
Не идеальная установка, но ваш отдел должен будет провести анализ рисков. Если вы действительно идете по этому пути, убедитесь, что вы документируете для целей CYA.С точки зрения безопасности лучшим вариантом является установка адаптивного портала. Учащиеся могут использовать свои устройства BYOD для подключения и доступа к порталу, передавать свои учетные данные для аутентификации на портал, и портал может затем взаимодействовать с сервером RADIUS.
Eduroam - еще один популярный выбор для образовательных организаций.
Я только что развернул установку, очень похожую на эту на прошлой неделе, чтобы обеспечить доступ в Интернет для недельного мероприятия в лагере. Это подход, который я использовал и извлек некоторые уроки:
Во-первых, я использовал несколько SSID для обеспечения основной сети на WPA2-Enterprise и открытой сети для регистрации пользователей. Открытая сеть перенаправляет на настраиваемый портал авторизации (с использованием HTTPS и обычного сертификата, выданного центром сертификации), где пользователи зарегистрировались и предоставили платежную информацию. После завершения оплаты пользователи включаются в базу данных RADIUS, и затем может повторно подключиться к SSID WPA2-Enterprise, чтобы выйти в Интернет.
Поскольку у меня был жесткий крайний срок для его запуска и запуска, он был протестирован только с Android и iOS, ни один из которых не имел реальных проблем. В процессе производства я довольно быстро понял, что Windows это совсем не нравится.
- Windows XP вообще нуждался в SP3, чтобы использовать защищенную сеть, поэтому я сохранил локальную копию для прямой загрузки на скрытом портале. Один пользователь действительно обнаружился с XP SP2 и должен был быть обновлен.
- Windows XP, Vista и 7 отказались подключаться с именем пользователя и паролем, но никогда не жаловались конкретно на сертификат сервера. Я обнаружил, что это было причиной методом проб и ошибок с первым зарегистрировавшимся пользователем Windows. На самом деле, когда проблема была обнаружена, настроить сетевой профиль вручную оказалось довольно просто.
- Windows 8, iOS, а версия NetworkManager для GNOME / Ubuntu запрашивала сертификат сервера RADIUS, но позволяла пользователям принять сертификат и подключиться.
- Версия NetworkManager для KDE никогда не пыталась подключиться без ручной настройки, и выбранные значения по умолчанию были неправильными. К счастью, только один пользователь обнаружился с этой конкретной конфигурацией.
- Никто не запросил поддержку Mac OS X. Позже я узнал, что клиенты Mac OS X подключались без проблем.
Чтобы избежать всех этих проблем, в следующей итерации ( т.е. в следующем году) Я планирую предложить установку сертификата сервера непосредственно из адаптивного портала, чтобы у пользователей (в основном пользователей Windows) не было проблем со входом в безопасную сеть.
но позволял пользователям принимать сертификат и подключаться.Чтобы избежать всех этих проблем, в следующей итерации ( т.е. в следующем году) Я планирую предложить установку сертификата сервера непосредственно с адаптивного портала, чтобы у пользователей (в основном пользователей Windows) не было проблем со входом в безопасную сеть.
но позволял пользователям принимать сертификат и подключаться.Чтобы избежать всех этих проблем, в следующей итерации ( т.е. в следующем году) Я планирую предложить установку сертификата сервера непосредственно с адаптивного портала, чтобы у пользователей (в основном пользователей Windows) не было проблем со входом в безопасную сеть.
Я знаю, что это сообщение действительно старое, но оно похоже на мою проблему, за исключением того, что на прошлой неделе любой клиент мог подключиться к моей беспроводной сети, а на этой неделе - нет. У меня есть Aruba EOL 3200 с 8 точками доступа. Клиенты windows/android/iphone смогли подключиться с помощью 802.1x, проверив локальную базу данных на базе Aruba с одним именем пользователя. На этой неделе, когда я войду, Я заметил, что мой телефон не может подключиться к беспроводной сети. Тогда мой ноутбук с Windows 10 не смог подключиться (оба ранее подключались). Только клиенты, которые не отключились от сети, смогли получить к нему доступ. Это происходит только с 802.1x ssid (для сотрудников), а не с PSK ssid (для гостей). Затем я убедился, что единственный способ подключения компьютера windows - это снять галочку с опции "проверить идентичность сервера, проверив сертификат" при ручном добавлении профиля. Устройства Android все еще не могут подключиться.
.