Jump to content
Калькуляторы

Люди, как настроить EAP в связке с NPS с более-менее серьёзным подходом, чтобы хотя бы пароли в plaintext`е по сети не гуляли.

Просидел вес день: поднял NPS, создал группу, в которую буду включать пользователей радиоустройств, создал отдельного пользователя для точки доступа (т.е. для самого МикроТика), сделал его членом группы Серверы RAS и IAS, проверил программкой NTRadPing, вроде даже получает response: Access-Accept, а NPS в SQL-сервер логи пишет.

 

Что дальше? Как правильно Микротик подключать к NPS? Или там как всегда как надо не работает?

Куда вводить реквизиты специально созданного пользователя - члена группы "Серверы RAS и IAS"?

Share this post


Link to post
Share on other sites

Вы какие пароли хотите защитить? RADIUS secret? Тут извините - протокол не предусматривает. Способ 1: IPSec между Mikrotik и сервером NPS. Способ 2: https://radsecproxy.github.io/ + radsec в самом Mikrotik RADIUS Client, в Mikrotik указывается адрес прокси, а в прокси уже адрес сервера NPS. Нужны сертификаты для прокси и микротика, можно сгенерить.

Share this post


Link to post
Share on other sites

Ну, IPSec наиболее эффективный вариант, но можно и PEAP, рассказываю как:

 

В NPS добавляете клиента RADIUS, имя = system identity микротика, IP- тот IP, с которого Mikrotik будет соединяться с NPS, поставщик - RADIUS Standard, секрет вводите или генерите (записать). На микротике вводите в терминале: /radius add address=IP-адрес NPS secret=секрет service=wireless 

 

Дальше, на NPS вам надо сделать сертификат компьютера, которому будут доверять клиенты. Если у вас развернут доменный CA, то проще всего поставить IIS в минимальной комплектации, создать из его консоли сертификат домена, указав полное доменное имя сервера NPS и выбрав доменный CA источником. На клиентах нужен сам сертификат CA, ручками заимпортить или разок по проводу в домен залогиниться. 

 

Если доменного CA нет, или среди клиентов невиндовые, но имя домена AD - публичное (пусть даже и поддомен публичного) , можно публичный же SSL сертификат купить, на полное доменное имя NPS сервера. Сертификат, правда, придется с помощью OpenSSL конвертнуть в PFX и импортировать на сервер NPS руками, главное следить, чтобы в хранилище компьютера, а не в личное пользователя.

 

Дальше, в NPS создаете сетевую политику, называете ее как-нибудь понятно, тип доступа - не определен (это важно), предоставить доступ, включена. На след.экране - добавляете условия: Группы Windows - сюда выбираете группу домена, членам которой хотите разрешить доступ, тип проверки подлинности - EAP. Дальше - в ограничениях для метода подлинности выбираете тип EAP - Microsoft Protected EAP (PEAP), потом выбрав строку жмете "изменить" и выбираете сертификат сервера (доменный или публичный), который будет отдаваться клиенту. На следующих экранах просто жмите Далее до конца. 

 

На микроте делаете wireless profile, режим - dynamic-keys, аутентификация - wpa2-eap, метод EAP - passthrough. Профиль указываете для сети. 

 

И можно пробовать клиентов, AD логин и пароль - понеслась.

 

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.