gard Опубликовано 9 февраля, 2022 · Жалоба Друзья, всем привет! Задумался тут сделать авторизацию WI-FI пользователей через RADIUS, которым у меня является NPS от Microsoft. Так вот... я так понял, что такое возможно только с использованием WPA2 EAP... Почитал руководства... вроде много где настраивают и оно типа работает. А у себя получаю в логах NPS такое: Цитата Код причины: 22 Причина: Не удается проверить подлинность клиента, так как данный тип протокола EAP не может быть обработан сервером. То есть не авторизует клиента. Стал читать дальше - оказывается нужно для NPS устанавливать сертификат. Я с этим вообще сильно мало знаком. Кто реализовал подобное - без сертификата вообще никак? И можно ли его установить только для RADIUS-авторизации по WI-FI. Просто у нас домен, как бы я установкой этого сертификата что другое не поломал... Боюсь =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 9 февраля, 2022 · Жалоба В 09.02.2022 в 07:22, gard сказал: оказывается нужно для NPS устанавливать сертификат Да. Причем, он должен быть доверенный на клиентах. Если домен и клиенты в домене - то доменным CA и выдать на NPS сервер, тип сертификата - веб-сервер. Если нет, но внутренний домен является поддоменом внешнего - попробовать сделать публичный сертификат, через LetsEncrypt или freessl.org (ну или тупо купить на год). Если внутренний домен с наружным вообще не коррелирует, или в лесу .local, то здравствуйт кактус - плак-плак, поднимать свой CA и распихивать его коренной сертификат по клиентам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gard Опубликовано 9 февраля, 2022 (изменено) · Жалоба Сегодня попробовал. Выбрал компонент только "Центр сертификации", никаких WEB не выбирал. В остальном все вышло как на вашем рисунке. В CAPsMAN по манам вот такое: То есть он получается и не использует сертификат? На android-телефоне выбрал "не проверять сертификат" и все подключилось. Может быть я что-то недопонимаю. Пока что с сервера AD удалил компонент "Центр сертификации". И сервер просит перезапуска (запросил уже после добавления компонента). Просто я боюсь, что после добавления этой роли он может сделать что-нибудь с доменом, на автомате так сказать. PS: Хотя.. с требованием о перезапуске возможно идеально совпало... В 14 с чем-то часов, когда я и копался, прилетело накопительное обновление, которое просит перезапуститься... Изменено 9 февраля, 2022 пользователем gard Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...