PKI, требуемый при аутентификации AP Cisco Aironet через радиус против AD

Точки доступа Cisco могут использовать две распространенные формы аутентификации 802.1X для каждого пользователя. 802.1X EAP потребует сертификатов для сервера политики сети, клиентских компьютеров и пользователей-клиентов. Чаще всего это достигается только с помощью смарт-карт, поэтому сертификат пользователя следует за ними.

Другой и более распространенный метод использования 802.1X для аутентификации каждого пользователя - это 802.1X PEAP, который использует сертификат на сервере NPS, чтобы клиенты могли проверить сервер, а также имя пользователя и пароль Windows для проверки подлинности клиента при входе пользователя в систему. Кроме того, учетная запись компьютера домена Windows используется для беспроводной проверки подлинности, когда ни один пользователь не вошел в систему, поэтому важно помнить, что если вы используете группы в правиле NPS, включите группу, в которую входят все компьютеры в дополнение ко всем пользователям.

Обратите внимание, что точка доступа не получает сертификат. Клиент называется «просителем», и сервер должен его аутентифицировать. Сервер NPS - это «сервер аутентификации», и клиенты должны его аутентифицировать. Однако точка доступа называется «аутентификатором» и является посредником между соискателем и сервером аутентификации, поэтому клиентам не нужно его аутентифицировать. Сервер NPS «аутентифицирует» точку доступа с помощью общих секретов RADIUS.

Наконец, это не обязательно должен быть публично доверенный сертификат SSL. Вы можете настроить корпоративный центр сертификации в своем домене, и все компьютеры в домене будут ему доверять.

Надеюсь, это поможет!

-Эрик