Аутентификация NPS/RAIDUS для Wi-Fi и сертификаты для недоверенного сервера

tag-icon tag-icon ssl ssl-certificate wifi radius nps
Аутентификация NPS/RAIDUS для Wi-Fi и сертификаты для недоверенного сервера

Я пытаюсь настроить сервер NPS как сервер RADIUS для сети Wifi сотрудников моей компании. Все мобильные устройства могут подключаться к этим сетям, используя своего доменного пользователя/пароля. Моя проблема заключается в том, чтобы разрешить компьютеру Windows (не в домене!) использовать эту сеть, потому что я получаю эту ошибку из журналов NPS:

"SERVERNAME",
"IAS",
09/28/2015,
09:00:44,
3,
...
"WIFI_STAFF_Policy",
265

Используя спецификации журнала, я обнаружил, что этот пакет является«Доступ-Отклонение», и«Код причины» — 265.(не указано в спецификациях журнала MS). Погуглив, я обнаружил, что «265 Reason code» — это ошибка сертификата, но я не понял, является ли это ошибкой клиента или сервера.

Очевидно, я не могу добавить сертификат на все компьютеры, не входящие в домен, и, более того, я не хочу покупать сертификат для своего NPS.

Если это ошибка клиента, я знаю, что я мог бы настроить аутентификацию PEAP так, чтобы не проверять сертификат, но это очень сложный вариант, поскольку мне придется настраивать каждый компьютер вручную.

Есть ли способ не использовать проверку сертификатов ИЗ конфигурации сетевой политики NPS?

Конфигурация политики

решение1

Причина, по которой ваш клиент, не являющийся владельцем домена, не может подключиться, заключается в том, что он не доверяет сертификату, используемому сетевой политикой, настроенной на вашем сервере NPS.

Есть ли способ не использовать проверку сертификатов ИЗ конфигурации сетевой политики NPS?

Нет, и вот почему. Предположим, вымогнастройте свой сервер NPS так, чтобы он изменил поведение клиента, даже если ваш клиент не доверяет сертификату сервера. Если я злоумышленник, я могу настроить свой сервер NPS с сертификатом, которому вы не доверяете, и настроить его так, чтобы заставить вашего клиента подключиться к моему серверу, даже если вы не доверяете моему сертификату. Это было бы плохо.

У вас есть два варианта подключения беспроводного клиента к беспроводной сети, защищенной протоколом PEAP, с использованием сертификата, которому клиент не доверяет:

  1. Установить сертификат сервера NPS на клиенте
  2. Измените беспроводное соединение на клиенте и в свойствах защищенного EAP укажите, что клиент не должен проверять сертификат сервера: введите описание изображения здесь

Связанный контент