Авторизация клиентов на Cisco вай-фае по сертификатам

[Korvet_068]

Добрый день.

Имеем цисковский вай-фай (контроллер Cisco 5508 и lightweight точки доступа на нём). Есть корпоративный SSID, на нём WPA2-авторизация по паролю.

Как можно добавить какие-то сертификаты или что-то другое для устройств сотрудников, чтобы уволенный сотрудник больше не мог пользоваться корпоративным вай-фаем? Как это делается классически?

[Korvet_068]

Переспрошу понятнее: как технически можно сделать так чтобы уволенные не могли логиниться по вайфаю? Что из области сесурити надо добавить?

[rdc]

очевидно, вместо PSK надо использовать EAP

у каждого сотрудника будет собственный логин/пароль

а далее увольняете из базы и всё

[Korvet_068]

почитал сегодня про ЕАР, спасибо за совет.

ЕАР требует установки на клиентские устройства каких-то утилит и сертификатов?

Во всех примерах описано подключение виндовых машин, и для подключения машина требует установленную специальную утилиту.

[rdc]

Про венду не скажу, но на всех устройствах Apple это делается штатными средствами системы.

На клиентском устройстве выбирается тип аутентификации EAP или Enterprise.

При этом, помимо пароля, будет запрашиваться логин.

[Korvet_068]

Так, вроде сделал.

На Циско контроллере используется Local EAP с профилем PEAP.

Заводятся логины и пароли юзеров на контроллере, после этого на эпплах и андройдах всё работает.

На винде надо перед первым подключением создать профиль беспроводной сети, указать там шифрование WPA2 Enterprise (и его же указать на контроллере для SSID), и проверку сертификатов в винде отключить.

Вот видео, про которому разбирался:

 

[zhenya`]

А радиус слабо прикрутить? Из коробки на АД работает. В одном месте юзеры будут все.

[kapydan]

Как это делается классически?

cisco acs + ad