Действительно ли возможно использовать Режим WPA Enterprise, не имея необходимость использовать или выпускать сертификаты?

То, о чем Вы говорите, является чем-то, что мы делаем на нескольких сайтах для клиентов (включая школьный округ, кто, кажется, делает точно, что Вы хотите).

Это не руководство щелчка для щелчка, но если Вы не возражаете играть вокруг с инструментами немного, я думаю, что Вы найдете, что они довольно очевидны.

Серверу IAS будет нужен сертификат, установленный как предпосылка на выполнении EAP. Если Вы не возражаете использовать самоподписанный сертификат (который мы не делаем везде w/никаких главных проблем), можно установить Центр сертификации Microsoft, и машина IAS запросит сертификат автоматически (предполагающий, что машина, размещающая IAS, соединена с доменом в лесу с Центром сертификации). Чтение о лучших практиках, предложенных ре Microsoft: Центр сертификации является хорошей идеей (особенно части о том, что не может измениться после создания CA) но если все, для чего Вы используете свой CA, является EAP, Вам могли бы, вероятно, сойти с рук списание его и запуск нового, если бы Вы когда-нибудь должны были.

После того как Вам установили сертификат в машине IAS, необходимо настроить сервер RADIUS для принятия запросов от точек беспроводного доступа (клиенты RADIUS). Сервер Microsoft RADIUS (по крайней мере, в W2K3) не очень хорош об обработке отказов поиска DNS эффективно, таким образом, хотя я очень не хочу сказать это, я рекомендовал бы использовать IP-адреса APS при создании клиентских записей RADIUS на сервере IAS. "Общий секрет" является значением что клиент RADIUS (AP) использование для аутентификации к серверу RADIUS (IAS). Убедитесь, что Вы вводите его тождественно и в AP и в сервер IAS.

Необходимо будет создать политику удаленного доступа в отношении машины IAS после определения APS как клиенты RADIUS. Встроенный мастер может сделать хорошее задание создания политики для Вас. В основном Вы хотите политику, которая соответствует "Беспроводной связи - IEEE 802.11 ИЛИ Беспроводной связи - Другой" и, раз так желаемая, определенная группа Windows, содержащая пользователей, которые будут предоставленным доступом (как, скажут "Доменные Компьютеры" или "Пользователей домена"). Мастер может вести Вас полный этот процесс.

После того как Вы создали политику, можно попытаться соединиться от клиента вручную. Я только обсуждаю конфигурирование Windows встроенная Беспроводная Нулевая Конфигурация (ха!) сервис здесь. Если Ваш NIC WLAN имеет сторонний менеджер конфигурации, и можно сойти с рук удаление его, я был бы. Используя встроенную службу Windows делает разногласия из того, чтобы заставлять NIC подойти и пройти проверку подлинности правильно во время начальной загрузки (предполагающий, что Вы предоставляете "Доменные Компьютеры" доступ в Вашей политике RADIUS), намного больше. (Я могу сказать Вам, что у меня есть большое количество беспроводных клиентов на моем сайте школьного округа, которые никогда не включают проводной Ethernet, но могут обработать групповую политику, и т.д., без проблем.)

Процедура варьируется немного между Windows XP и Windows Vista / 7, но в основном мы говорим о движении к списку беспроводных сетей, добавление SSID новой защищенной сети WPA-RADIUS (удалите старую, если Вы снова используете свой существующий SSID) и удостоверяетесь, что некоторые свойства установлены правильно. "Сетевая Аутентификация" должна быть установлена на любую комбинацию WPA/WPA2 и AES/TKIP, который Вы настроили на своем AP. (Лично, я использовал бы WPA2-AES, если Вы можете, но WPA-TKIP является наименьшим общим знаменателем и поддерживается клиентами старшего возраста.)

В свойствах аутентификации для нового SSID, быть уверенным, что "Защищенный EAP (PEAP)" выбран как тип EAP. Если клиент не является членом Вашего домена, перейдите в диалоговое окно "Свойств" для PEAP, снимите флажок, "Проверяют сертификат сервера", перейдите к "Настроенному" диалоговому окну для "Избранного метода аутентификации" и снимите флажок "Автоматически использование мое имя и пароль входа в систему Windows (и домен если таковые имеются)" и снимите флажок, "Проходят проверку подлинности как компьютер, когда информация о компьютере доступна" под свойствами "Authentication" нового SSID. Это вынудит Windows предложить Вам учетные данные на non-domain-member компьютере.

После того как Вы получаете клиент, "говорящий", я рекомендовал бы развернуть настройки SSID с помощью групповой политики так, чтобы Вы "не касались" никаких клиентов. Я люблю эту функциональность и использовал ее во многих сайтах к большому успеху. Пока новому клиентскому компьютеру доменного участника позволяют применить групповую политику однажды на проводную сеть, это будет "просто работать", после того как это помещается в диапазон беспроводной сети. Нирвана!

Для устройств не-Windows (iPod, нетбуки Linux, телефоны на базе Android, и т.д.) необходимо будет работать через конфигурацию соединения сами. Это не слишком плохо, все же. У нас есть множество устройств, проходящих проверку подлинности к WLANs, настроенному этим способом очень хорошо.

Править:

На non-domain-member компьютерах Вы захотите удалить галочку у объектов, которые я описываю в моем выше, чтобы препятствовать тому, чтобы клиент проверил сертификат сервера и пытался пройти проверку подлинности автоматически. Пользователь должен будет вручную предоставить их учетные данные.

С точки зрения автоматического развертывания конфигурации представляют non-domain-member клиентам, которые можно использовать "netsh wlan" команда на Windows Vista и Windows 7.

На Windows XP, развертывая конфигурацию WLAN без Групповой политики действительно подобно Vista, но требует программного обеспечения установки.