none
Путаница, где устаналивать сертификат для Radius? RRS feed

  • Вопрос

  • Приветствую всех профи. Развернул WiFi и Radius сервер, что бы пользователи домена могли подключаться к WiFi  без ввода уч данных. Работает (если пользователь есть в домене).

    Топология  простая - WiFi точка доступа настроена на Radius, сам Radius он же NPS поднят классически на windows server (2019) используется PEAP аутентификация. Так же в компании имеется единственный корневой сервер сертификатов CA, который выдал NPS серверу сертификат "Domain Controller Authentification Certificate", после чего подключение пользователей по радиусу стало возможным.

    Нужно что бы пользователь вне домена как и компьютер мог подключаться к Radius сети. 

    Я не могу понять, какой сертификат нужно установить недоменному пользователю пришедшему со стороны на машину? Речь идет о том единственном сертификате "Domain Controller Authentification Certificate" который сейчас есть только на NPS сервере? (уже проделал, экспортировал этот серт с NPS на компьютер польз в Personal - не помогло). Или надо генерировать другой сертификат? И где этот новый сертификат должен быть установлен?

    Спасибо (хотелось бы поподробнее если можно..)


    • Изменено user00431 31 марта 2021 г. 16:02
    31 марта 2021 г. 16:00

Ответы

  • генерируется или сертификат шаблона User или Computer.

    А в политике в NPS должно быть не PEAP, а Smart Card or other Certificate.
    Так же на самом NPS сертификат должен быть шаблона Computer, и никаких "Domain Controller Authentification Certificate"

    А вообще так никто не делает. Если есть не доменный компьютер или пользователь, то они подключаются по логину и паролю к гостевой сети. К корпоративной сети должны подлкючаться только те устройства и пользователи, которые вы контролируете. Только представьте, вы импортировали сертификат на копьютер, который не имеет корпоративных политик и шифрования? Вот так и компроментируются корпоративные сертификаты.

    • Помечено в качестве ответа user00431 6 апреля 2021 г. 12:23
    31 марта 2021 г. 16:18

Все ответы

  • генерируется или сертификат шаблона User или Computer.

    А в политике в NPS должно быть не PEAP, а Smart Card or other Certificate.
    Так же на самом NPS сертификат должен быть шаблона Computer, и никаких "Domain Controller Authentification Certificate"

    А вообще так никто не делает. Если есть не доменный компьютер или пользователь, то они подключаются по логину и паролю к гостевой сети. К корпоративной сети должны подлкючаться только те устройства и пользователи, которые вы контролируете. Только представьте, вы импортировали сертификат на копьютер, который не имеет корпоративных политик и шифрования? Вот так и компроментируются корпоративные сертификаты.

    • Помечено в качестве ответа user00431 6 апреля 2021 г. 12:23
    31 марта 2021 г. 16:18
  • Вот я с вами согласен по последней части. Ведь логика была предусмотрена заранее. Хорошо что обратили на это внимание, попробую донести им еще раз.
    31 марта 2021 г. 16:32
  • уточнил, речь идет о наших же пользователей с mac буками допустим.
    31 марта 2021 г. 16:48
  • у Apple есть какая-то "возможно" платная программа, позволяющая подключаться к Windows CA, и запрашивать сертификаты для пользователей. Возможно это "apple profile manager". Завтра на работе посмотрю, как у нас называется. Но у нас mac введены в домен.
    31 марта 2021 г. 18:06