Vezetéknélküli hálózat: WPA + RADIUS + IAS

Szereztünk egy új vezetéknélküli routert, és az volt a feladat, hogy valahogy meg kéne oldani a biztonságos hozzáférést, de lehetőleg kliens oldali tanúsítványok nélkül (azt elég macerás a diákoknak kiosztani). Tud az eszköz RADIUS-t, Windows Serverben az Internet Authentication Service (IAS) is tudja elvileg azt, most már csak össze kellett lőni.

Meglepően gyorsan ment a dolog:

Végül a megoldás WPA + PEAP + MS-CHAP-v2 lett. Az access point kapcsolódik az IAS-hoz, az ellenőrzi az Active Directoryban a felhasználót, és engedélyezi a kapcsolatot a megfelelő IAS házirend alapján.

Bár buktató, amibe belefutottam:

1. Az IAS nem jegyzi be magát rendesen az EventLogba, így olvashatatlanok a hibaüzenetei. Megoldás, hozzá kell adni az IAS megfelelő dll-jeit az EventLog registry bejegyzéséhez.

2. Úgy nézett ki megy rendesen minden, bekéri a jelszót a klienstől, majd nem történt semmi. A logba 20168-as ID-jú eseményt naplóz: "Could not retrieve the Remote Access Server’s certificate due to the following error: The credentials supplied to the package were not recognized".

A megoldás annyi, hogy a PEAP-hoz kell az IAS szervernek egy tanúsítvány, mert így tud titkosított csatornán menni már az első üzenetváltás a hitelesítéshez. Ehhez a Windows beépített Certificate Authority-jával állítattam ki egy tanúsítványt a webes felületén, csak arra kell figyelni, hogy be legyen pipálva a

  • Mark keys as exportable
  • Store certificate in the local computer certificate store

Így a local machine tanúsítványtárába kerül, exportálható lesz, és már az IAS is fogja szeretni.

 

Egyszerűbb volt, mint hittem:)

 

Technorati tags: ,

Advertisements
Kategória: Tech | Közvetlen link a könyvjelzőhöz.

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s