회사 고용주의 Wi-Fi 네트워크용 RADIUS 서버로 NPS 서버를 설정하려고 합니다. 모든 모바일 장치는 도메인 사용자/패스를 사용하여 이 네트워크에 연결할 수 있습니다. 내 문제는 NPS 로그에서 다음 오류가 발생하기 때문에 Windows 컴퓨터(도메인에 속하지 않음!)가 이 네트워크를 사용하도록 허용하는 것입니다.
"SERVERNAME",
"IAS",
09/28/2015,
09:00:44,
3,
...
"WIFI_STAFF_Policy",
265
로그 사양을 사용하여 이 패킷이"액세스 거부", 그리고"이유 코드"는 265입니다.(MS 로그 사양에는 선언되지 않음) 구글링을 해보니 "265 Reason code"가 인증서 오류인 것을 발견했는데, 클라이언트 오류인지 서버 오류인지는 잘 모르겠습니다.
분명히 도메인이 아닌 모든 컴퓨터에 인증서를 추가할 수는 없으며 더욱이 NPS용 인증서를 구입하고 싶지 않습니다.
이것이 클라이언트 오류인 경우 인증서를 확인하지 않도록 PEAP 인증을 설정할 수 있다는 것을 알고 있지만 모든 컴퓨터를 수동으로 설정해야 하기 때문에 이는 매우 어려운 옵션입니다.
NPS 네트워크 정책 구성에서 인증서 유효성 검사를 사용하지 않는 방법이 있나요?
답변1
비도메인 클라이언트가 연결할 수 없는 이유는 클라이언트가 NPS 서버에 구성된 네트워크 정책에서 사용되는 인증서를 신뢰하지 않기 때문입니다.
NPS 네트워크 정책 구성에서 인증서 유효성 검사를 사용하지 않는 방법이 있나요?
아니요, 그 이유는 다음과 같습니다. 당신이 가정~할 수 있었다클라이언트가 서버의 인증서를 신뢰하지 않는 경우에도 클라이언트의 동작을 변경하도록 NPS 서버를 구성하세요. 제가 공격자라면 신뢰하지 않는 인증서로 NPS 서버를 설정하고, 귀하가 내 인증서를 신뢰하지 않더라도 클라이언트가 강제로 내 서버에 연결하도록 구성할 수 있습니다. 그것은 나쁜 것입니다.
클라이언트가 신뢰하지 않는 인증서를 사용하여 무선 클라이언트를 PEAP 보안 무선 네트워크에 연결하는 두 가지 옵션이 있습니다.
- 클라이언트에 NPS 서버의 인증서 설치
- 클라이언트의 무선 연결과 클라이언트가 서버 인증서의 유효성을 검사하지 않아야 하는 특정 보호된 EAP 속성에서 편집합니다.
