Смена пароля в AD = кик с WI-FI RADIUS EAP?

Question

Андрей Шумилов @killerqueen

Системный администратор, ведущий специалист ИБ КИИ

Смена пароля в AD = кик с WI-FI RADIUS EAP?

Имеются точки доступа, к которым устройства подключаются по WPA2PSK, решили перенести устройства в доменне в отдельную сеть на WPA2EAP. Использовали сервер Radius для аутентификации, словили факап. При смене пароля УЗ в AD юзер не может подключиться к сети WI-FI. Не знаю как подружить RADIUS и AD, чтобы первый менял пароли УЗ.

Вопрос задан 18 дек. 2023
207 просмотров

7 комментариев

Подписаться 2 Средний 7 комментариев

Valentin Barbolin @dronmaxman

У тебя есть еще пару проблема которую ты пока не заметил. Ноутбук не подключится к WIFI пока пользователь не зайдет в учетку, а значит:
- никакого обновления политик
- другой пользователь не может зайти на этот ПК если ранее им не пользовался
- пользователь может подключить личное устройство к этой wifi сети

ПК может авторизоваться на WIFI используя сертификат.

Написано 18 дек. 2023
Андрей Шумилов @killerqueen Автор вопроса

Valentin Barbolin, как пользователь подключит личное устройство без сертификата?

Написано 18 дек. 2023
Valentin Barbolin @dronmaxman

Андрей Шумилов, Сеть может иметь гибридную авторизацию.

Написано 18 дек. 2023
Андрей Шумилов @killerqueen Автор вопроса

Valentin Barbolin, интересные мысли, жаль что к вопросу не имеют никакого отншения

Написано 18 дек. 2023
MVV @mvv-rus

ПК может авторизоваться на WIFI используя сертификат.

Valentin Barbolin, ПК может аворизоваться на WIFI, используя учетную запись компьютера. Когда я с этим лет пятнадцать назад имел дело, это было не по умолчанию, конфигурацию надо было подстраивать, как сейчас - не в курсе.

Написано 18 дек. 2023
MVV @mvv-rus

решили перенести устройства в доменне в отдельную сеть на WPA2EAP

Именно EAP, по сертификатам? Чей сервер RADIUS используюется - из состава Windows Server или сторонний?
Я с давних пор использовал для аутентификации PEAP-MSCHAPv2 (там аутентификация по паролю), проблем не наблюдал. Но это было давно и клиентов WiFi было немного.

Написано 18 дек. 2023
Андрей Шумилов @killerqueen Автор вопроса

MVV, да, должна происходить авторизация по УЗ AD и сертификату SSL. Сейчас используется Microsoft Network Policy Server (NPS), ибо он уже был и не стали деплоить новый. По истечению срока пароля у УЗ AD, устройство не будет коннектится к точке доступа. К сожалению, УИТ решил действовать по схеме, будем менять пароли руками(

Написано 18 дек. 2023

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Windows

+1 ещё

Простой
Что может тормозить скорость интернета?
- 2 подписчика
- 9 часов назад
- 77 просмотров
0

ответов
Active Directory

+1 ещё

Простой
Почему не устанавливается программа через GPO?
- 1 подписчик
- вчера
- 55 просмотров
2

ответа
Wi-Fi

Средний
Почему скорость подключения к вай фай точке не происходит мгновенно?
- 2 подписчика
- 18 нояб.
- 748 просмотров
4

ответа
Групповые политики

+1 ещё

Средний
Как закрыть доступ к домену компам не находящиеся в домене?
- 2 подписчика
- 18 нояб.
- 195 просмотров
2

ответа
Active Directory

+1 ещё

Простой
Что будет, если удалить гибридный домен AzureAD?
- 2 подписчика
- 15 нояб.
- 68 просмотров
1

ответ
Active Directory

+1 ещё

Простой
Как подключаться через RDP по имени ПК в домене?
- 2 подписчика
- 15 нояб.
- 3387 просмотров
1

ответ
Wi-Fi

+1 ещё

Простой
Как WI-FI роутеры противодействуют атакам типа BrutForce или Dictionary Attack?
- 1 подписчик
- 14 нояб.
- 225 просмотров
3

ответа
Wi-Fi

Простой
Как организовать wifi сеть на 300 метров?
- 4 подписчика
- 12 нояб.
- 7434 просмотра
6

ответов
Сетевое оборудование

+1 ещё

Простой
Как переводить не загружаемый сайт на другое подключение на роутере Keenetic?
- 1 подписчик
- 09 нояб.
- 226 просмотров
3

ответа
Система доменных имен

+1 ещё

Простой
Как прописать настройки DNS для добавления компьютера в домен Windows?
- 1 подписчик
- 08 нояб.
- 172 просмотра
1

ответ
Показать ещё Загружается…

Project manager / Руководитель проектов в IT (junior, middle)

CUBA

от 40 000 до 110 000 ₽

C ++ разработчик

Decart IT-production • Москва

от 240 000 до 300 000 ₽

Разработчик 1С

Angels IT Group • Воронеж

от 250 000 ₽

Нарисовать проект Площадки для дизайнеров интерьеров

22 нояб. 2024, в 10:19

10000 руб./за проект

Сделать верстку двух страниц из фигмы

22 нояб. 2024, в 09:58

5000 руб./за проект

Доделать проект

22 нояб. 2024, в 09:57

3000 руб./за проект

У тебя есть еще пару проблема которую ты пока не заметил. Ноутбук не подключится к WIFI пока пользователь не зайдет в учетку, а значит:
- никакого обновления политик
- другой пользователь не может зайти на этот ПК если ранее им не пользовался
- пользователь может подключить личное устройство к этой wifi сети

ПК может авторизоваться на WIFI используя сертификат.
Valentin Barbolin, как пользователь подключит личное устройство без сертификата?
Андрей Шумилов, Сеть может иметь гибридную авторизацию.
Valentin Barbolin, интересные мысли, жаль что к вопросу не имеют никакого отншения
ПК может авторизоваться на WIFI используя сертификат.

Valentin Barbolin, ПК может аворизоваться на WIFI, используя учетную запись компьютера. Когда я с этим лет пятнадцать назад имел дело, это было не по умолчанию, конфигурацию надо было подстраивать, как сейчас - не в курсе.
решили перенести устройства в доменне в отдельную сеть на WPA2EAP

Именно EAP, по сертификатам? Чей сервер RADIUS используюется - из состава Windows Server или сторонний?
Я с давних пор использовал для аутентификации PEAP-MSCHAPv2 (там аутентификация по паролю), проблем не наблюдал. Но это было давно и клиентов WiFi было немного.
MVV, да, должна происходить авторизация по УЗ AD и сертификату SSL. Сейчас используется Microsoft Network Policy Server (NPS), ибо он уже был и не стали деплоить новый. По истечению срока пароля у УЗ AD, устройство не будет коннектится к точке доступа. К сожалению, УИТ решил действовать по схеме, будем менять пароли руками(

Смена пароля в AD = кик с WI-FI RADIUS EAP?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт