Вам необходимо распространить сертификат вашего сервера RADIUS (если он самоподписанный) или сертификат центра сертификации, который подписал его, вашим клиентам.
Прямо сейчас вы сообщаете своим клиентам (или соискатели в 802.1X-ese), чтобы проверить доверительный путь сертификата вашего RADIUS-сервера. Я не знаю, как вы сгенерировали свою пару открытого и закрытого ключей для своего сервера RADIUS, но, вообще говоря, он будет либо самоподписанным, либо подписанным центром сертификации. В свою очередь, открытый ключ подписывающего центра сертификации будет распространяться среди клиентов либо через объекты групповой политики, службы сертификации Active Directory, либо он был включен Microsoft в репозиторий доверенного корневого центра сертификации.
Кто-нибудь знает, как этого избежать? Мы полностью готовы купить сертификат у Verisign, Thwarte и т. Д., Если это поможет, но мы попробовали наш SSL-сертификат Comodo с подстановочными знаками, который не исправил его.
Не рекомендуется иметь внешний корневой ЦС, подписывающий ваш RADIUS сертификат сервера.
Это из документации FreeRADIUS, но я полагаю, что он также действителен для реализации Microsoft:
В общем, вы должны использовать самозаверяющие сертификаты для 802.1x (EAP)
аутентификация. Когда вы перечисляете корневые центры сертификации других организаций в
"CA_file", вы разрешаете им маскироваться под вас для аутентификации
ваших пользователей, а также для выпуска клиентских сертификатов для EAP-TLS.
Эти машины принадлежат конечным пользователям, поэтому мы не можем легко контролировать настройки с помощью групповой политики или взлома реестра.
Ну вот и ваша проблема! Распространять сертификаты с помощью объектов групповой политики достаточно просто. Почему это не вариант в вашем случае? Если это не так, у вашего собственного звездообразного сертификата (который подписан корневым центром сертификации) вы могли бы подписать сертификат вашего сервера RADIUS?
РЕДАКТИРОВАТЬ: К сожалению, BYOD и WPA2-Enterprise на самом деле не предназначены для совместной работы. У вас есть три варианта:
Недостатками первых двух вариантов является то, что он открывает вашу схему 802.1X для атак MiTM. Я мог бы создать свой собственный сервер RADIUS и перехватить учетные данные вашего пользователя AD. Не идеальная установка, но ваш отдел должен будет провести анализ рисков. Если вы все же пойдете по этому пути, убедитесь, что вы документируете для целей CYA.
С точки зрения безопасности лучшим вариантом является установка адаптивного портала. Учащиеся могут использовать свои устройства BYOD для подключения и доступа к порталу, передавать свои учетные данные для аутентификации на портал, и портал может затем взаимодействовать с сервером RADIUS.
Eduroam - еще один популярный выбор для образовательных организаций.
Недостатками первых двух вариантов является то, что они открывают вашу схему 802.1X для атак MiTM. Я мог бы создать свой собственный сервер RADIUS и перехватить учетные данные вашего пользователя AD. Не идеальная установка, но ваш отдел должен будет провести анализ рисков. Если вы действительно идете по этому пути, убедитесь, что вы документируете для целей CYA.
С точки зрения безопасности лучшим вариантом является установка адаптивного портала. Учащиеся могут использовать свои устройства BYOD для подключения и доступа к порталу, передавать свои учетные данные для аутентификации на портал, и портал может затем взаимодействовать с сервером RADIUS.
Eduroam - еще один популярный выбор для образовательных организаций.
Недостатками первых двух вариантов является то, что они открывают вашу схему 802.1X для атак MiTM. Я мог бы создать свой собственный сервер RADIUS и перехватить учетные данные вашего пользователя AD. Не идеальная установка, но ваш отдел должен будет провести анализ рисков. Если вы все же пойдете по этому пути, убедитесь, что вы документируете для целей CYA.
С точки зрения безопасности лучшим вариантом является установка адаптивного портала. Учащиеся могут использовать свои устройства BYOD для подключения и доступа к порталу, передавать свои учетные данные для аутентификации на портал, и портал может затем взаимодействовать с сервером RADIUS.
Eduroam - еще один популярный выбор для образовательных организаций.
Не идеальная установка, но ваш отдел должен будет провести анализ рисков. Если вы действительно идете по этому пути, убедитесь, что вы документируете для целей CYA.С точки зрения безопасности лучшим вариантом является установка адаптивного портала. Учащиеся могут использовать свои устройства BYOD для подключения и доступа к порталу, передавать свои учетные данные для аутентификации на портал, и портал может затем взаимодействовать с сервером RADIUS.
Eduroam - еще один популярный выбор для образовательных организаций.
Не идеальная установка, но ваш отдел должен будет провести анализ рисков. Если вы действительно идете по этому пути, убедитесь, что вы документируете для целей CYA.С точки зрения безопасности лучшим вариантом является установка адаптивного портала. Учащиеся могут использовать свои устройства BYOD для подключения и доступа к порталу, передавать свои учетные данные для аутентификации на портал, и портал может затем взаимодействовать с сервером RADIUS.
Eduroam - еще один популярный выбор для образовательных организаций.
Я только что развернул установку, очень похожую на эту на прошлой неделе, чтобы обеспечить доступ в Интернет для недельного мероприятия в лагере. Это подход, который я использовал и извлек некоторые уроки:
Во-первых, я использовал несколько SSID для обеспечения основной сети на WPA2-Enterprise и открытой сети для регистрации пользователей. Открытая сеть перенаправляет на настраиваемый портал авторизации (с использованием HTTPS и обычного сертификата, выданного центром сертификации), где пользователи зарегистрировались и предоставили платежную информацию. После завершения оплаты пользователи включаются в базу данных RADIUS, и затем может повторно подключиться к SSID WPA2-Enterprise, чтобы выйти в Интернет.
Поскольку у меня был жесткий крайний срок для его запуска и запуска, он был протестирован только с Android и iOS, ни один из которых не имел реальных проблем. В процессе производства я довольно быстро понял, что Windows это совсем не нравится.
Чтобы избежать всех этих проблем, в следующей итерации ( т.е. в следующем году) Я планирую предложить установку сертификата сервера непосредственно из адаптивного портала, чтобы у пользователей (в основном пользователей Windows) не было проблем со входом в безопасную сеть.
но позволял пользователям принимать сертификат и подключаться.Чтобы избежать всех этих проблем, в следующей итерации ( т.е. в следующем году) Я планирую предложить установку сертификата сервера непосредственно с адаптивного портала, чтобы у пользователей (в основном пользователей Windows) не было проблем со входом в безопасную сеть.
но позволял пользователям принимать сертификат и подключаться.Чтобы избежать всех этих проблем, в следующей итерации ( т.е. в следующем году) Я планирую предложить установку сертификата сервера непосредственно с адаптивного портала, чтобы у пользователей (в основном пользователей Windows) не было проблем со входом в безопасную сеть.
Я знаю, что это сообщение действительно старое, но оно похоже на мою проблему, за исключением того, что на прошлой неделе любой клиент мог подключиться к моей беспроводной сети, а на этой неделе - нет. У меня есть Aruba EOL 3200 с 8 точками доступа. Клиенты windows/android/iphone смогли подключиться с помощью 802.1x, проверив локальную базу данных на базе Aruba с одним именем пользователя. На этой неделе, когда я войду, Я заметил, что мой телефон не может подключиться к беспроводной сети. Тогда мой ноутбук с Windows 10 не смог подключиться (оба ранее подключались). Только клиенты, которые не отключились от сети, смогли получить к нему доступ. Это происходит только с 802.1x ssid (для сотрудников), а не с PSK ssid (для гостей). Затем я убедился, что единственный способ подключения компьютера windows - это снять галочку с опции "проверить идентичность сервера, проверив сертификат" при ручном добавлении профиля. Устройства Android все еще не могут подключиться.
.