Jump to content

CAPsMAN авторизация через RADIUS, MS NPS, сертификат обязателен?

gard
 Share

Recommended Posts

gard

gard

Posted
Posted

Друзья, всем привет!

Задумался тут сделать авторизацию WI-FI пользователей через RADIUS, которым у меня является NPS от Microsoft.

Так вот... я так понял, что такое возможно только с использованием WPA2 EAP...

Почитал руководства... вроде много где настраивают и оно типа работает. А у себя получаю в логах NPS такое:

Цитата

Код причины:            22
    Причина:                Не удается проверить подлинность клиента, так как данный тип протокола EAP не может быть обработан сервером.

 

То есть не авторизует клиента. Стал читать дальше - оказывается нужно для NPS устанавливать сертификат. Я с этим вообще сильно мало знаком.

Кто реализовал подобное - без сертификата вообще никак? И можно ли его установить только для RADIUS-авторизации по WI-FI.

Просто у нас домен, как бы я установкой этого сертификата что другое не поломал... Боюсь =)

jffulcrum

jffulcrum

Posted
Posted
В 09.02.2022 в 07:22, gard сказал:

оказывается нужно для NPS устанавливать сертификат

Да. 

 

Untitled1.thumb.png.f918ca562d76873b57ac3099b757a514.png

 

Причем, он должен быть доверенный на клиентах. Если домен и клиенты в домене - то доменным CA и выдать на NPS сервер, тип сертификата - веб-сервер. Если нет, но внутренний домен является поддоменом внешнего - попробовать сделать публичный сертификат, через LetsEncrypt или freessl.org (ну или тупо купить на год). Если внутренний домен с наружным вообще не коррелирует, или в лесу .local, то здравствуйт кактус - плак-плак, поднимать свой CA и распихивать его коренной сертификат по клиентам.

gard

gard

Posted
  • Author
Posted (edited)

Сегодня попробовал.

Выбрал компонент только "Центр сертификации", никаких WEB не выбирал.

В остальном все вышло как на вашем рисунке.

 

В CAPsMAN по манам вот такое:

139983690_.thumb.PNG.faf4b8b742f4a440892486da4d73c361.PNG

 

То есть он получается и не использует сертификат?

На android-телефоне выбрал "не проверять сертификат" и все подключилось. Может быть я что-то недопонимаю.

Пока что с сервера AD удалил компонент "Центр сертификации". И сервер просит перезапуска (запросил уже после добавления компонента).

Просто я боюсь, что после добавления этой роли он может сделать что-нибудь с доменом, на автомате так сказать.

 

PS:

Хотя.. с требованием о перезапуске возможно идеально совпало...

В 14 с чем-то часов, когда я и копался, прилетело накопительное обновление, которое просит перезапуститься...

Edited by gard

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.