Autenticação NPS / RAIDUS para Wi-Fi e certificados para servidores não confiáveis

Question

Autenticação NPS / RAIDUS para Wi-Fi e certificados para servidores não confiáveis

#1 resposta do (0 votos)

1

Estou tentando configurar um servidor NPS como servidor RADIUS para a rede Wi-Fi de empregadores da minha empresa. Todos os dispositivos móveis podem se conectar a essas redes usando seu usuário / passe de domínio. Meu problema é deixar o computador com Windows (não no domínio!) Usar essa rede, porque recebo esse erro dos registros do NPS:

"SERVERNAME",
"IAS",
09/28/2015,
09:00:44,
3,
...
"WIFI_STAFF_Policy",
265

Usando as especificações de log, descobri que esse pacote é um "Access-Reject" e o "Reason code" é 265 (não declarado nas especificações de log do MS ). Googoling Descobri que "265 Reason code" é um erro de certificado, mas não entendi se é um erro do cliente ou de um servidor.

Obviamente, não posso adicionar um certificado a todos os computadores que não sejam do domínio e, além disso, não quero comprar um certificado para o meu NPS.

Se este é um erro do cliente, sei que eu poderia configurar a autenticação PEAP para não convalidar o certificado, mas essa é uma opção muito difícil, porque eu deveria configurar cada computador manualmente.

Existe alguma maneira de não usar a convalidação de certificado FROM configuração de política de rede NPS?

ssl radius wifi ssl-certificate nps

por Tobia 28.09.2015 / 09:48

1 resposta

Tags ssl radius wifi ssl-certificate nps

ssh: ProxyCommand via conexão persistente do ControlMaster O regex Fail2Ban no sshd.conf não detecta logins de raiz com falha em /var/log/auth.log

score 0 · Accepted Answer

O motivo pelo qual seu cliente não-domínio não pode se conectar é porque seu cliente não confia no certificado que está sendo usado pela política de rede configurada em seu servidor NPS.

Is there any way to do not use certificate convalidation FROM NPS Network policy configuration?

Não, e aqui está o porquê. Suponha que você possa configurar seu servidor NPS para alterar o comportamento do cliente, mesmo que seu cliente não confie no certificado do servidor. Se eu for um invasor, posso configurar meu servidor NPS com um certificado que você não confia e configurá-lo para forçar seu cliente a se conectar ao meu servidor, mesmo que você não confie em meu certificado. Isso seria ruim.

Você tem duas opções para conectar um cliente sem fio a uma rede sem fio protegida por PEAP usando um certificado em que o cliente não confia:

Instale o certificado do servidor NPS no cliente
Edite a conexão sem fio no cliente e nas propriedades do EAP protegido específicas que o cliente não deve validar certificado do servidor: