[korobeynikov]

Люди, как настроить EAP в связке с NPS с более-менее серьёзным подходом, чтобы хотя бы пароли в plaintext`е по сети не гуляли.

Просидел вес день: поднял NPS, создал группу, в которую буду включать пользователей радиоустройств, создал отдельного пользователя для точки доступа (т.е. для самого МикроТика), сделал его членом группы Серверы RAS и IAS, проверил программкой NTRadPing, вроде даже получает response: Access-Accept, а NPS в SQL-сервер логи пишет.

 

Что дальше? Как правильно Микротик подключать к NPS? Или там как всегда как надо не работает?

Куда вводить реквизиты специально созданного пользователя - члена группы "Серверы RAS и IAS"?

[jffulcrum]

Вы какие пароли хотите защитить? RADIUS secret? Тут извините - протокол не предусматривает. Способ 1: IPSec между Mikrotik и сервером NPS. Способ 2: https://radsecproxy.github.io/ + radsec в самом Mikrotik RADIUS Client, в Mikrotik указывается адрес прокси, а в прокси уже адрес сервера NPS. Нужны сертификаты для прокси и микротика, можно сгенерить.

[korobeynikov]

Нет, речь не про radius secret, речь про логины/пароли Active Directory.

[jffulcrum]

Ну, IPSec наиболее эффективный вариант, но можно и PEAP, рассказываю как:

 

В NPS добавляете клиента RADIUS, имя = system identity микротика, IP- тот IP, с которого Mikrotik будет соединяться с NPS, поставщик - RADIUS Standard, секрет вводите или генерите (записать). На микротике вводите в терминале: /radius add address=IP-адрес NPS secret=секрет service=wireless 

 

Дальше, на NPS вам надо сделать сертификат компьютера, которому будут доверять клиенты. Если у вас развернут доменный CA, то проще всего поставить IIS в минимальной комплектации, создать из его консоли сертификат домена, указав полное доменное имя сервера NPS и выбрав доменный CA источником. На клиентах нужен сам сертификат CA, ручками заимпортить или разок по проводу в домен залогиниться. 

 

Если доменного CA нет, или среди клиентов невиндовые, но имя домена AD - публичное (пусть даже и поддомен публичного) , можно публичный же SSL сертификат купить, на полное доменное имя NPS сервера. Сертификат, правда, придется с помощью OpenSSL конвертнуть в PFX и импортировать на сервер NPS руками, главное следить, чтобы в хранилище компьютера, а не в личное пользователя.

 

Дальше, в NPS создаете сетевую политику, называете ее как-нибудь понятно, тип доступа - не определен (это важно), предоставить доступ, включена. На след.экране - добавляете условия: Группы Windows - сюда выбираете группу домена, членам которой хотите разрешить доступ, тип проверки подлинности - EAP. Дальше - в ограничениях для метода подлинности выбираете тип EAP - Microsoft Protected EAP (PEAP), потом выбрав строку жмете "изменить" и выбираете сертификат сервера (доменный или публичный), который будет отдаваться клиенту. На следующих экранах просто жмите Далее до конца. 

 

На микроте делаете wireless profile, режим - dynamic-keys, аутентификация - wpa2-eap, метод EAP - passthrough. Профиль указываете для сети. 

 

И можно пробовать клиентов, AD логин и пароль - понеслась.