Назад | Перейти на главную страницу

802.1x - автоматический переход с EAP-TLS на EAP-PEAP для клиентов Windows 10?

Аутентификация 802.1x включена на наших портах доступа коммутатора и беспроводных точках доступа. Запросы RADIUS отправляются на сервер NPS Server 2012R2.

На этом сервере NPS настроены две сетевые политики:

  1. Аутентификация через EAP-TLS (с использованием сертификата машины, который автоматически распространяется на все машины, присоединенные к домену AD, нашим центром сертификации AD) - приоритет # 1

  2. Аутентификация через PEAP (это позволяет аутентификацию через имя пользователя AD и при условии, что пользователь входит в определенную группу безопасности) - приоритет # 2

Когда устройство Android или IOS подключается к сети, оно сначала пытается выполнить аутентификацию сертификата EAP-TLS, а затем, когда это не удается, запрашивает учетные данные имени пользователя и пароля. Это то поведение, которое мы хотим.

Однако компьютер с Windows 10, подключенный к домену, не будет пытаться использовать EAP-TLS, а затем переключиться на EAP-PEAP. Он будет пробовать EAP-TLS только в том случае, если вкладка «Аутентификация» на сетевой карте изменена с «Смарт-карта или другой сертификат» на EAP-PEAP и указана «аутентификация пользователя».

Мы хотим, чтобы клиенты Windows вели себя как клиенты Android / IOS. Кто-нибудь знает, возможен ли этот автоматический откат?