Аутентификация 802.1x включена на наших портах доступа коммутатора и беспроводных точках доступа. Запросы RADIUS отправляются на сервер NPS Server 2012R2.
На этом сервере NPS настроены две сетевые политики:
Аутентификация через EAP-TLS (с использованием сертификата машины, который автоматически распространяется на все машины, присоединенные к домену AD, нашим центром сертификации AD) - приоритет # 1
Аутентификация через PEAP (это позволяет аутентификацию через имя пользователя AD и при условии, что пользователь входит в определенную группу безопасности) - приоритет # 2
Когда устройство Android или IOS подключается к сети, оно сначала пытается выполнить аутентификацию сертификата EAP-TLS, а затем, когда это не удается, запрашивает учетные данные имени пользователя и пароля. Это то поведение, которое мы хотим.
Однако компьютер с Windows 10, подключенный к домену, не будет пытаться использовать EAP-TLS, а затем переключиться на EAP-PEAP. Он будет пробовать EAP-TLS только в том случае, если вкладка «Аутентификация» на сетевой карте изменена с «Смарт-карта или другой сертификат» на EAP-PEAP и указана «аутентификация пользователя».
Мы хотим, чтобы клиенты Windows вели себя как клиенты Android / IOS. Кто-нибудь знает, возможен ли этот автоматический откат?