私は、会社の雇用主の Wi-Fi ネットワーク用の RADIUS サーバーとして NPS サーバーを設定しようとしています。すべてのモバイル デバイスは、ドメイン ユーザー/パスワードを使用してこのネットワークに接続できます。問題は、Windows コンピューター (ドメイン外) がこのネットワークを使用できるようにすることです。NPS ログから次のエラーが発生します。
"SERVERNAME",
"IAS",
09/28/2015,
09:00:44,
3,
...
"WIFI_STAFF_Policy",
265
ログの仕様を使用して、このパケットが「アクセス拒否」、 そしてその「理由コード」は265です(MS ログ仕様では宣言されていません)。Google で検索したところ、「265 理由コード」は証明書エラーであることがわかりましたが、クライアント エラーなのかサーバー エラーなのかはわかりませんでした。
当然、すべての非ドメイン コンピューターに証明書を追加することはできませんし、さらに NPS 用の証明書を購入したくもありません。
これがクライアント エラーである場合、証明書を検証しないように PEAP 認証を設定できるとわかっていますが、すべてのコンピューターを手動で設定する必要があるため、これは非常に難しいオプションです。
NPS ネットワーク ポリシー構成からの証明書検証を使用しない方法はありますか?
答え1
非ドメイン クライアントが接続できない理由は、クライアントが NPS サーバーで構成されているネットワーク ポリシーで使用されている証明書を信頼していないためです。
NPS ネットワーク ポリシー構成からの証明書検証を使用しない方法はありますか?
いいえ、その理由はこうです。できたクライアントがサーバーの証明書を信頼していない場合でも、NPS サーバーを設定してクライアントの動作を変更します。私が攻撃者であれば、信頼していない証明書を使用して NPS サーバーを設定し、証明書を信頼していない場合でもクライアントをサーバーに接続するように設定できます。これはよくありません。
クライアントが信頼していない証明書を使用して、ワイヤレス クライアントを PEAP で保護されたワイヤレス ネットワークに接続するには、次の 2 つのオプションがあります。
- NPSサーバーの証明書をクライアントにインストールする
- クライアント上のワイヤレス接続と、クライアントがサーバー証明書を検証しないようにする保護された EAP プロパティを編集します。
