Я гуглил часами и не нашел ответа. Я, конечно, нашел информацию о PEAP и MS-CHAPv2, но ничего для моей конкретной ситуации (что мне кажется чем-то, что должно быть легко найти). По сути, я пытаюсь сделать так, чтобы пользователь Windows на ПК удаленно (хотя и в той же подсети) получил доступ к маршрутизатору Cisco для его администрирования и настройки. Топология здесь. Аутентификация этого пользователя будет происходить через NPS Active Directory. У пользователя есть учетная запись AD, и эти учетные данные используются для входа в маршрутизатор. Я получил это для работы с помощью PAP, но теперь мне нужно сделать это с помощью MS-CHAPv2, а затем PEAP (та же общая конфигурация, отдельные экземпляры).
Маршрутизатор настроен как клиент в NPS в Active Directory, и сетевая политика для MS-CHAPv2 может быть видел здесь, для PEAP - Вот. Что-то не так с этими сетевыми политиками? Тип службы и протокол с фреймами - это части, в которых я не уверен на 100%.
Основная проблема, с которой я сталкиваюсь, - это получить информацию о том, что нужно настроить на маршрутизаторе Cisco (7200). Вот конфигурация того, что у меня есть, которое использует PAP:
aaa group server radius RAD_SERVER
server-private <nps ip> auth-port 1812 acct-port 1813 key 7 03105E07030C2E417D584D51
!
aaa authentication login default group RAD_SERVER local
aaa authorization console
aaa authorization exec default group RAD_SERVER local if-authenticated
crypto pki trustpoint NPS.domain.org
enrollment mode ra
enrollment url http://<nps ip>:80/certsrv/mscep/mscep.dll
serial-number
fqdn R1.domain.org
subject-name CN=R1.domain.org
revocation-check none
!
!
crypto pki certificate chain NPS.domain.org
certificate ca 2ED7D81DA1FFF88D46A85518E717BE02 <rest of certificate>
Насколько я понимаю, клиент должен иметь возможность аутентифицировать сервер RADIUS, поэтому я установил сертификат сервера RADIUS на маршрутизатор (также необходимый шаг для PEAP). Итак, я должен каким-то образом изменить приведенную выше конфигурацию, чтобы указать маршрутизатору Cisco использовать EAP-MS-CHAPv2 или PEAP (в зависимости от того, что я выберу) вместо PAP. Как мне это сделать?
tl; dr: требуется, чтобы пользователь Windows AD аутентифицировался с помощью MS-CHAPv2 и PEAP на отдельных маршрутизаторах. Пусть это уже работает с использованием PAP.