Autenticação NPS/RAIDUS para Wifi e certificados para servidores não confiáveis

tag-icon tag-icon ssl ssl-certificate wifi radius nps
Autenticação NPS/RAIDUS para Wifi e certificados para servidores não confiáveis

Estou tentando configurar um servidor NPS como servidor RADIUS para rede Wifi dos empregadores da minha empresa. Todos os dispositivos móveis podem se conectar a essas redes usando seu usuário/senha de domínio. Meu problema é permitir que o computador Windows (não no domínio!) Use esta rede, porque recebo este erro nos logs do NPS:

"SERVERNAME",
"IAS",
09/28/2015,
09:00:44,
3,
...
"WIFI_STAFF_Policy",
265

Usando as especificações de log, descobri que este pacote é um"Acesso-Rejeitar", e a"Código de razão" é 265(não declarado nas especificações de log do MS). Pesquisando no Google, descobri que "265 Reason code" é um erro de certificado, mas não entendi se é um erro do cliente ou do servidor.

Obviamente não consigo adicionar um certificado a todos os computadores que não sejam de domínio e, além disso, não quero comprar um certificado para meu NPS.

Se este for um erro do cliente, sei que poderia configurar a autenticação PEAP para não convalidar o certificado, mas esta é uma opção muito difícil porque devo configurar cada computador manualmente.

Existe alguma maneira de não usar a convalidação de certificado da configuração da política de rede NPS?

Configuração de política

Responder1

O motivo pelo qual seu cliente que não é de domínio não consegue se conectar é porque seu cliente não confia no certificado usado pela política de rede configurada em seu servidor NPS.

Existe alguma maneira de não usar a convalidação de certificado da configuração da política de rede NPS?

Não, e aqui está o porquê. Suponha que vocêpoderiaconfigure seu servidor NPS para alterar o comportamento do cliente, mesmo que ele não confie no certificado do servidor. Se eu for um invasor, posso configurar meu servidor NPS com um certificado no qual você não confia e configurá-lo para forçar seu cliente a se conectar ao meu servidor, mesmo que você não confie no meu certificado. Isso seria ruim.

Você tem duas opções para conectar um cliente sem fio a uma rede sem fio protegida por PEAP usando um certificado no qual o cliente não confia:

  1. Instale o certificado do servidor NPS no cliente
  2. Edite a conexão sem fio no cliente e nas propriedades EAP protegidas específicas que o cliente não deve Validar o certificado do servidor: insira a descrição da imagem aqui

informação relacionada