korobeynikov Posted November 19, 2019 · Report post Люди, как настроить EAP в связке с NPS с более-менее серьёзным подходом, чтобы хотя бы пароли в plaintext`е по сети не гуляли. Просидел вес день: поднял NPS, создал группу, в которую буду включать пользователей радиоустройств, создал отдельного пользователя для точки доступа (т.е. для самого МикроТика), сделал его членом группы Серверы RAS и IAS, проверил программкой NTRadPing, вроде даже получает response: Access-Accept, а NPS в SQL-сервер логи пишет. Что дальше? Как правильно Микротик подключать к NPS? Или там как всегда как надо не работает? Куда вводить реквизиты специально созданного пользователя - члена группы "Серверы RAS и IAS"? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted November 19, 2019 · Report post Вы какие пароли хотите защитить? RADIUS secret? Тут извините - протокол не предусматривает. Способ 1: IPSec между Mikrotik и сервером NPS. Способ 2: https://radsecproxy.github.io/ + radsec в самом Mikrotik RADIUS Client, в Mikrotik указывается адрес прокси, а в прокси уже адрес сервера NPS. Нужны сертификаты для прокси и микротика, можно сгенерить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
korobeynikov Posted November 20, 2019 · Report post Нет, речь не про radius secret, речь про логины/пароли Active Directory. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted November 20, 2019 · Report post Ну, IPSec наиболее эффективный вариант, но можно и PEAP, рассказываю как: В NPS добавляете клиента RADIUS, имя = system identity микротика, IP- тот IP, с которого Mikrotik будет соединяться с NPS, поставщик - RADIUS Standard, секрет вводите или генерите (записать). На микротике вводите в терминале: /radius add address=IP-адрес NPS secret=секрет service=wireless Дальше, на NPS вам надо сделать сертификат компьютера, которому будут доверять клиенты. Если у вас развернут доменный CA, то проще всего поставить IIS в минимальной комплектации, создать из его консоли сертификат домена, указав полное доменное имя сервера NPS и выбрав доменный CA источником. На клиентах нужен сам сертификат CA, ручками заимпортить или разок по проводу в домен залогиниться. Если доменного CA нет, или среди клиентов невиндовые, но имя домена AD - публичное (пусть даже и поддомен публичного) , можно публичный же SSL сертификат купить, на полное доменное имя NPS сервера. Сертификат, правда, придется с помощью OpenSSL конвертнуть в PFX и импортировать на сервер NPS руками, главное следить, чтобы в хранилище компьютера, а не в личное пользователя. Дальше, в NPS создаете сетевую политику, называете ее как-нибудь понятно, тип доступа - не определен (это важно), предоставить доступ, включена. На след.экране - добавляете условия: Группы Windows - сюда выбираете группу домена, членам которой хотите разрешить доступ, тип проверки подлинности - EAP. Дальше - в ограничениях для метода подлинности выбираете тип EAP - Microsoft Protected EAP (PEAP), потом выбрав строку жмете "изменить" и выбираете сертификат сервера (доменный или публичный), который будет отдаваться клиенту. На следующих экранах просто жмите Далее до конца. На микроте делаете wireless profile, режим - dynamic-keys, аутентификация - wpa2-eap, метод EAP - passthrough. Профиль указываете для сети. И можно пробовать клиентов, AD логин и пароль - понеслась. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...