Назад | Перейти на главную страницу

Проверка PEAP для другого вторичного домена?

Возможно, это немного сбивает с толку, поэтому позвольте мне объяснить ситуацию.

Наша компания хочет внедрить корпоративный беспроводной LAN с участием PEAP аутентификация. К сожалению, 10 лет назад кто-то допустил большую ошибку в нашей конструкции Active Directory.

Доменное имя, которое мы используем, company.ch, не принадлежит нашей компании, а кому-то другому. Это делает невозможным выпуск публичного SSL сертификат на RADIUS server, а наш домен Active Directory слишком велик для переименования.

Мы уже думали об использовании нашего частного PKI и развертывание сертификата, созданного ЦС, через GPO но это будет охватывать только наших корпоративных клиентов, а не какие-либо устройства в нашей среде из нашей политики BYOD (смартфоны, планшеты, ноутбуки ...)

Есть ли способ добавить вторичное доменное имя, например company2.ch, выдать публичный сертификат и присоединиться RADIUS к этому вторичному домену, поэтому мы можем настроить этот вторичный домен через DHCP для всех клиентских пулов?

Или есть другой способ, например, с новым RADIUS сервер в собственном домене (company2.ch) что связано с неким доверием к company.ch домен?

Я не клиент-серверный парень, но, надеюсь, вы меня поняли.

Прежде всего, позвольте мне сказать, что вам (ну, может быть, вашим начальникам) действительно нужно отказаться от использования домена, которым вы не владеете. Вы говорите, что сейчас это слишком велико, но вы недальновидны. Если сейчас он «слишком велик», чтобы его можно было менять, что произойдет в будущем, когда он станет еще больше? Вы просто позволяете проблеме расти и расти, пока (если компания действительно преуспеет и продолжит расти) вы не столкнетесь с проблемой, с которой действительно будет «слишком много», и вы потратите фантастические суммы. денег и времени, и оказать большое влияние на пользователя, чтобы исправить то, что вы, вероятно, могли бы исправить сейчас с гораздо меньшими усилиями. По крайней мере, вы должны посмотреть, можете ли вы купить домен, который использует ваш AD, у его текущего владельца, что было бы самым быстрым способом исправить это.

В любом случае, при условии, что ваши боссы на самом деле не хотят быть разумными, умными или думать о будущем дальше, чем их следующая бонусная проверка, на самом деле существует довольно восточный способ обойти это, о чем вы упомянули в своем вопросе.

Что бы вы хотели сделать:

  1. Создайте второй дочерний домен в лесу Active Directory..
    • Выберите домен, которым вы владеете на этот раз, или купите любой домен, который выберете, ради любви к Богу.
  2. Создайте доверительные отношения между новым доменом и старым (в AD).
  3. Создайте соответствующие группы пользователей, ресурсы и разрешения в новом домене.
    • Настроить RADIUS/NPS сервер, у которого есть разрешения на аутентификацию в старом домене или, возможно, только на ваших устройствах с поддержкой RADIUS, и разрешить им аутентифицироваться в старом домене (или как вы хотите это сделать).
  4. Управляйте разрешениями в старом домене, чтобы у пользователей нового домена был необходимый доступ.
    • Например, убедитесь, что любой SSL Сертификат, приобретенный вами для этого домена, будет принят старым доменом, если вы выберете этот маршрут.
  5. (НЕОБЯЗАТЕЛЬНО, но НАСТОЯТЕЛЬНО РЕКОМЕНДУЕТСЯ) Используйте новый дочерний домен, чтобы перейти от старого, которым вы фактически не владеете
    • Как только доверительные отношения установлены и заработают, вы можете использовать их для миграции пользователей со старого домена, которым вы не владеете, на то, что вы делаете, и в конечном итоге решить проблему.
      • На самом деле я нахожусь в процессе миграции домена Windows Active Directory, и мы тоже этим занимаемся.
      • Мы создали второй дочерний домен, установили доверительные отношения и начали постепенно переносить пользователей, службы, машины (все) в новый домен, поэтому старый сломанный домен в конечном итоге будет пустым и неиспользуемым, после чего мы удалим этого.