none
Autenticazione al dominio via ethernet e wireless RRS feed

  • Domanda

  • Salve a tutti,

    in azienda ho circa 45 Access Point sparsi in Italia configurati tutti con lo stesso SSID, Channell e password di autenticazione, per far si che quando i client si muovono tra le sedi possano accedere con lo stesso profilo.

    Ho due problemi da risolvere:

    -Configurare un server che gestisca le autenticazioni Wireless solo ai Notebook del dominio, in modo da non rischiare che gli utenti divulghino la password a persone malfidate.

    -Configurare un server che neghi l' accesso alla rete a qualsiasi computer esterno al dominio, ma che non mi renda l' operazione particolarmente complicata quando ne devo aggiungere uno nuovo per un nuovo assunto.

    Qualcuno sa darmi un consiglio per la via migliore?

    I server sono tutti Windows 2008 R2 e gli access point sono tutti WAP-6012 della level1, per quel che mi hanno spiegato supportano tutte le tecnologie attuali, e li avevo acquistati in previsione di migrare ad un configurazione piu professionale.

    Grazie anticipatamente,

    Stefano

    giovedì 13 dicembre 2012 09:56

Risposte

  • il modo migliore per risolvere buona parte, se non tutte, delle tue esigenze è utilizzare i certificati digitali.

    certamente non potranno accedere macchine o utenti alle quali non avrai rilasciato il certificato digitale, al contrario accederanno solo quelli in possesso del certificato e non sarà sufficiente l'uso di sole username e password.

    per farlo ti basterà installare una tua CA e configurare NPS come radius server ed utilizzando gli AP come radius clients.

    qui un documento riepilogativo dei passi da fare

    http://technet.microsoft.com/en-us/library/cc771696.aspx

    ciao.


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    giovedì 13 dicembre 2012 14:12
    Moderatore
  • il modo migliore per risolvere buona parte, se non tutte, delle tue esigenze è utilizzare i certificati digitali.

    certamente non potranno accedere macchine o utenti alle quali non avrai rilasciato il certificato digitale, al contrario accederanno solo quelli in possesso del certificato e non sarà sufficiente l'uso di sole username e password.

    per farlo ti basterà installare una tua CA e configurare NPS come radius server ed utilizzando gli AP come radius clients.


    Oltre a quanto sopra, il vantaggio nell'usare i certificati è la possibilità di revocare rapidamente gli stessi; ad esempio nel caso in cui un device (portatile/tablet/...) venisse smarrito/perso o nel caso in cui un dipendente/collaboratore "lasciasse" l'azienda; non solo, una volta installato il certificato della CA privata (aziendale) sarà anche possibile usare i certificati per stabilire "canali protetti" (SSL) per l'accesso a determinati servizi (portali web aziendali, posta elettronica ...) permettendo così di avere un buon livello di sicurezza anche nel caso in cui fosse necessario accedere a tali servizi da connessioni "non affidabili" (es. hotspots pubblici et similia)

    • Proposto come risposta Anca Popa mercoledì 19 dicembre 2012 10:33
    • Contrassegnato come risposta Anca Popa giovedì 20 dicembre 2012 13:37
    venerdì 14 dicembre 2012 07:46

Tutte le risposte

  • il modo migliore per risolvere buona parte, se non tutte, delle tue esigenze è utilizzare i certificati digitali.

    certamente non potranno accedere macchine o utenti alle quali non avrai rilasciato il certificato digitale, al contrario accederanno solo quelli in possesso del certificato e non sarà sufficiente l'uso di sole username e password.

    per farlo ti basterà installare una tua CA e configurare NPS come radius server ed utilizzando gli AP come radius clients.

    qui un documento riepilogativo dei passi da fare

    http://technet.microsoft.com/en-us/library/cc771696.aspx

    ciao.


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    giovedì 13 dicembre 2012 14:12
    Moderatore
  • il modo migliore per risolvere buona parte, se non tutte, delle tue esigenze è utilizzare i certificati digitali.

    certamente non potranno accedere macchine o utenti alle quali non avrai rilasciato il certificato digitale, al contrario accederanno solo quelli in possesso del certificato e non sarà sufficiente l'uso di sole username e password.

    per farlo ti basterà installare una tua CA e configurare NPS come radius server ed utilizzando gli AP come radius clients.


    Oltre a quanto sopra, il vantaggio nell'usare i certificati è la possibilità di revocare rapidamente gli stessi; ad esempio nel caso in cui un device (portatile/tablet/...) venisse smarrito/perso o nel caso in cui un dipendente/collaboratore "lasciasse" l'azienda; non solo, una volta installato il certificato della CA privata (aziendale) sarà anche possibile usare i certificati per stabilire "canali protetti" (SSL) per l'accesso a determinati servizi (portali web aziendali, posta elettronica ...) permettendo così di avere un buon livello di sicurezza anche nel caso in cui fosse necessario accedere a tali servizi da connessioni "non affidabili" (es. hotspots pubblici et similia)

    • Proposto come risposta Anca Popa mercoledì 19 dicembre 2012 10:33
    • Contrassegnato come risposta Anca Popa giovedì 20 dicembre 2012 13:37
    venerdì 14 dicembre 2012 07:46
  • Ciao Stefano,

    Abbiamo ancora la tua richiesta aperta nel Forum di Sicurezza. 

    Ci sono stati sviluppi a seguito dei consigli ricevuti?

    Grazie in anticipo di tenerci aggiornati sul tuo percorso!


    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    mercoledì 19 dicembre 2012 10:34
  • Grazie a tutti per i consigli e scusate il ritardo nel rispondere!

    Un saluto,

    Stefano

    venerdì 21 dicembre 2012 09:08