none
NPS и сторонние eap(peap) RRS feed

  • Вопрос

  • Коллеги, приветствую.

    Есть необходимость использовать доменный NPS для доступа к сети и использовать методы проверки подлинности eap.

    Во время настройки, происходит ругань на невозможность найти сертификат.

    При наличии AD CA проблем быть не должно, исходя из диванных гайдов, люди тупо ставят CA и всё должно работать.

    Собственно, вопрос заключается в том, возможно ли как-то обойтись без ролей CA?

    1 августа 2019 г. 7:19

Ответы

  • 1. Самоподписанному клиенты не будут доверять по-умолчанию.

    2. Любой ИТ с прямыми руками поднимет в офисе сеть с таким же SSID и таким же самоподписанным сертификатом. Пользователи по привычке "забьют" на предупреждение о сертификате при подключении и с радостью пойдут сдавать свои пароли враждебной точке доступа.

    • Помечено в качестве ответа DmitryG_ 1 августа 2019 г. 11:07
    1 августа 2019 г. 7:49

Все ответы

  • Сертификат должен быть либо от вашего CA (которому априори будут доверять все доменные клиенты), либо от коммерческого центра сертификации. Самоподписанный не подойдёт.

    https://docs.microsoft.com/en-us/windows-server/networking/technologies/nps/nps-manage-certificates

    1 августа 2019 г. 7:39
  • Добрый день,

    По идее самоподписанного сертификата будет достаточно, посмотрите здесь: 

    https://community.arubanetworks.com/t5/Wireless-Access/802-1x-Authentication-with-Microsoft-NPS/td-p/203079/page/2

    1 августа 2019 г. 7:40
  • 1. Самоподписанному клиенты не будут доверять по-умолчанию.

    2. Любой ИТ с прямыми руками поднимет в офисе сеть с таким же SSID и таким же самоподписанным сертификатом. Пользователи по привычке "забьют" на предупреждение о сертификате при подключении и с радостью пойдут сдавать свои пароли враждебной точке доступа.

    • Помечено в качестве ответа DmitryG_ 1 августа 2019 г. 11:07
    1 августа 2019 г. 7:49
  • Алексей, ну это и так понятно )). СА и без NPS  в домене вещь малозаменимая. Вопрос стоял про "без поднятия СА", что на мой взгляд тоже в корне не верно )) 
    1 августа 2019 г. 7:55
  • Михаил, с вами полностью согласен. Это к тому что - "предупреждён, значит вооружён", не более того.
    1 августа 2019 г. 8:00
  • Т.е. выход только один и он однозначный - поднимать CA
    1 августа 2019 г. 8:05
  • Приветствую.

    Если речь идет об использовании 802.1Х, то необходимо:

    Сертификат доверенного СА (Внешний и коммерческий),

    Активное Сетевое оборудование которое поддерживает 802.1Х,

    Radius либо NPS сервер.

    Как пример... Настройка 802.1X на коммутаторах Cisco с помощью отказоустойчивого NPS (Windows RADIUS with AD)


    Я не волшебник, я только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub.

    1 августа 2019 г. 9:56
    Модератор
  • Приветствую.

    Если речь идет об использовании 802.1Х, то необходимо:

    Сертификат доверенного СА (Внешний и коммерческий),

    Активное Сетевое оборудование которое поддерживает 802.1Х,

    Radius либо NPS сервер.

    Как пример... Настройка 802.1X на коммутаторах Cisco с помощью отказоустойчивого NPS (Windows RADIUS with AD)


    Я не волшебник, я только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub.

    Доброго дня.

    Всё верно, необходимо как раз для использования 802.1x

    Со стороны коммутаторов порядок, поддержка имеется.

    Коммерческий брать не хочется, особенно учитывая его постоянную пролонгацию.

    В итоге придётся-таки поднимать доменный CA и использовать свои сертификаты, как пояснили коллеги выше

    1 августа 2019 г. 10:22

  • В итоге придётся-таки поднимать доменный CA и использовать свои сертификаты, как пояснили коллеги выше

    Это не "придётся", а так должно быть. Вы хотите проверят подлиность по сертификатам, а сертификатов-то нет вообще: ошибка, которая у Вас изображена на картинки, говорит о том, что никаких компьютерных сертификатов на сервере не установлено.
    1 августа 2019 г. 10:58
    Модератор
  • ошибка, которая у Вас изображена на картинки, говорит о том, что никаких компьютерных сертификатов на сервере не установлено.

    Это как раз понятно.

    Хорошо, ответ на свой вопрос я получил. Спасибо всем за участие.

    1 августа 2019 г. 11:07