Назад | Перейти на главную страницу

Требуется ли PKI при аутентификации AP Cisco Aironet через радиус по AD?

У нас небольшой офис, и точка доступа Cisco Aironet 1250 настроена на WPA-PSK. Теперь, когда мы развернули Active Directory, я хотел бы начать аутентификацию моих пользователей через радиус вместо PSK.

Для этого я установил NPS на свой сервер SBS 2011. Клиенты WiFi - это корпоративные ноутбуки, личные iPhone, iPad, телефоны Android и т. Д. сочетание всех типов устройств, не все из которых подключены к домену.

Похоже, что все методы аутентификации, которые включают радиус, который поддерживает Aironet, требуют какой-то инфраструктуры PKI. Мне удалось легко настроить наш Cisco ASA 5505 для аутентификации клиентов IPSEC VPN на том же сервере RADIUS, но я не могу понять, как настроить Aironet. Действительно ли мне нужно устанавливать сертификат моего NPS-сервера на все эти устройства, как я видел, как предлагают некоторые люди?

Точки доступа Cisco могут использовать две распространенные формы аутентификации 802.1X для каждого пользователя. 802.1X EAP потребует сертификатов для сервера политики сети, клиентских компьютеров и пользователей-клиентов. Чаще всего это достигается только с помощью смарт-карт, поэтому сертификат пользователя следует за ними.

Другой и более распространенный метод использования 802.1X для проверки подлинности каждого пользователя - это 802.1X PEAP, который использует сертификат на сервере NPS, чтобы клиенты могли проверять сервер, а также имя пользователя и пароль Windows пользователя для проверки подлинности клиента, когда пользователь входит в систему. Кроме того, учетная запись компьютера домена Windows используется для беспроводной проверки подлинности, когда пользователи не вошли в систему, поэтому важно помнить, что если вы используете группы в правиле NPS, включите группу, в которую входят все компьютеры в дополнение ко всем пользователям.

Обратите внимание, что точка доступа не получает сертификат. Клиент называется «просителем», и сервер должен его аутентифицировать. Сервер NPS - это «сервер аутентификации», и клиенты должны его аутентифицировать. Однако точка доступа называется «аутентификатором» и является посредником между соискателем и сервером аутентификации, поэтому клиентам не нужно ее аутентифицировать. Сервер NPS «аутентифицирует» точку доступа с помощью общих секретов RADIUS.

Наконец, это не обязательно должен быть публично доверенный сертификат SSL. Вы можете настроить корпоративный ЦС в своем домене, и все компьютеры в домене будут ему доверять.

Надеюсь это поможет!

-Эрик