none
PEAP без сертификатов RRS feed

  • Общие обсуждения

  • Привет всем.

    У меня настроенна такая конфигурация:
    Контроллер домена на Windows 2003 с центром сертификации, на отдельном сервере (тоже win 2003) настроен IAS, есть точка доступа Zyxel g-3000.
    Для сервера IAS выписан и установлен сертификат RAS and IAS Server Authentication.

    Пользователи при подключении по wi-fi вводят логин и пароль и успено подключаются к сети. Но если ноего корневого центра сертификации нет на компьютере/ноутбуке/КПК в доверенных корневых центрах сертификации, то подключение невозможно.
    Как сделать чтобы была возможность подключиться к сети без сертификатов на персональных устройствах?
    18 марта 2009 г. 14:44

Все ответы

  • никак. Иначе вы не сможете проверить подлинность IAS сервера. Когда у вас wi-fi клиенты подключаются к точке доступа, IAS сервер отправляет клиентам свой сертификат с открытым ключом, чтобы подтвердить свою личность и создать защищённый канал между wi-fi клиентом и IAS для последующей передачи пары логина/пароля от клиента на сервер.

    следовательно, чтобы поверить этому IAS серверу и его сертификату, вы должны доверять CA, который выдал этот сертификат. А если не доверяете, то у вас нету никаких оснований, чтобы доверять этому IAS (с таким успехом любой палёный IAS вам сунет любой сертификат и получит все ваши логины и пароли).
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    18 марта 2009 г. 20:39
  • А можно сделать, чтоб при подключении пользователь мог скачать и установить этот сертификат, при условии что устройство, с которого производится подключение, не находится в домене?
    • Изменено KPAHTbl 6 апреля 2009 г. 9:40
    6 апреля 2009 г. 9:32
  • нет. Только ручным импортом или через скрипт с certutil.
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    6 апреля 2009 г. 9:34
  • никак.
    [тут могла быть ваша реклама] http://www.sysadmins.lv

    Ответ неверный. По крайней мере, в XP проверку сертификата клиентом можно отключить: в окне Защищенные свойства EAP (так у нас пререводят Protected EAP Properties, это окно вызывается по кнопке Свойства на вкладке Прверка подлинности свойств беспроводной сети при выборе Тип EAP - PEAP ) снимите галочку "проверять сертификат сервера".
    PS Это, естественно, можно делать, только если Вы не боитесь, что злоумышленник принесет свою точку доступа и похитит ценную информацию, передаваемую клиентами WiFi по сети.

    Слава России!
    6 апреля 2009 г. 10:12