FreeRADIUS 3 и подстановочные сертификаты
Я настраиваю новый сервер FreeRADIUS здесь в кампусе, спрыгивая v1 к v3 (я не был здесь, когда оригинал был установкой). Вещи, кажется, хорошо работают, но я не понимаю, как часть сертификатов работает при использовании Windows 7.
У нас есть подстановочный знак сертификат SSL для нашего домена. Я могу использовать тот же самый сертификат с нашим сервером RADIUS для предшествования потребности импортировать наш сертификат CA в каждый клиент?
Если так, как я пошел бы о выполнении так?
Спасибо за помощь.
Знаете ли вы IP-адрес соответствующего iLO? Знаете ли вы IP-адреса?
Если нет, то вам необходимо использовать один из следующих методов, вплоть до выключения сервера и использования блока dip-переключателей на материнской плате:
http://h20564.www2.hp.com/hpsc/doc/public/display?docId=mmr_kc-0115524
Затем получить доступ к iLO по https на IP-адресе, который вы установили с помощью заданных вами IP-адресов.
Вкладка виртуальных носителей в левом меню позволит вам смонтировать DVD-диск с обновлениями, который вы можете получить по контракту на поддержку HP. Она автоматически запустит обновление после перезагрузки
. -Даже если вы представляете сертификат, подписанный предустановленным ЦС, большинство supplicants требуют, чтобы пользователь явно доверял этому ЦС, прежде чем принимать сертификат.802.1X, 802. 11i и никакие известные мне EAP-стандарты не указывают отношения между CN сертификата, представленного предполагаемому, и SSID сети, поэтому CN может быть чем угодно, с оговоркой, что некоторые windows supplicants не принимают сертификаты wildcard (очевидно, я никогда не проверял это лично)
Один и тот же сертификат может быть представлен несколькими серверами RADIUS в одном кластере, хотя если вы используете фронтовой компенсатор нагрузки, он должен гарантировать, что все пакеты в EAP-контакте отправляются на внутренний сервер. Из-за возможности того, что многие пользователи настроят анонимную внешнюю идентификацию, это лучше всего сделать с помощью атрибута Calling-Station-ID в пакете RADIUS.
Для дополнительной безопасности, если вы используете предустановленный, публичный, корневой ЦС, лучше всего настроить допуск, чтобы он проверял, что CN в сертификате соответствует предустановленному значению. Это предотвратит атаки подделки с использованием других сертификатов, подписанных тем же самым публичным корневым центром сертификации.
Хотя, из-за возможности неправильной настройки Допусков, лучше всего избегать публичных корневых центров сертификации, закатывайте свой собственный центр сертификации, распределяйте его среди пользователей сети в импортируемом сетевом профиле, и в этом профиле включите проверку CN.
Существует множество инструментов, которые могут генерировать эти профили для различных платформ/допусков. Если вы планируете развернуть Eduroam, вам стоит обратить внимание на Eduroam CAT.
Также существует Cloudpath's xpressconnect - это растворимый инсталлятор, который, помимо установки профилей, может выступать в качестве временного агента NAC, проверяя уровни патчей и версии драйверов.
.