Как настроить авторизацию в сеть WIFI, в два этапа, проверка сертификата компьютера, после успеха, запрос на учетные данные, при помощи RADIUS?

Question

[123ASDA]

Добрый день, у меня встал вопрос настройки политик по доменной авторизации в WIFI(при помощи WS NPS) , желаемый результат проверка сертификата компьютера выданный CA ,после ответ клиенту на запрос учетных данных.
Сейчас проблема в том что политика настроенна так что проверят челенство в группе компьютеров домена, и пропускает компьютер без проверки учетных данных. Такая потребность возникла для ограничение личных устройств.
Использовал все возможные инструменты по поиску ответов , ничего не нашел(ИИ,Форумы,Статьи,Инстуркции)

Если нужны скриншоты или больше информации , я помогу всем и дам все лишь бы понять как это настроить.

Comments

[Alexey Dmitriev]

Так не ответ надо искать, а литературу по NPS, ибо то, что вы хотите -один из распространенных вариантов при использовании NPS.
И правила https://qna.habr.com/help/rules и в особенности п.5.12 изучить.

P.S. Как это личные устройства обходят "политика настроенна так что проверят челенство в группе компьютеров домена, "

Answer 1

[Valentin Barbolin]

сертификата компьютера выданный CA ,после ответ клиенту на запрос учетных данных.

Проверить сертификат потом дополнительно проверить учетку пользователя? - типа двухэтапная авторизация? - так не работает, возможно на freeradius можно наколхозить, но это избыточно.

Как я сделал у себя.
Есть домен, центр сертификации (CA), ПК автоматические получают сертификат от CA и груповой политикой профиль конфигурации для WIFI. На wifi можна авторизоваться по сертификату или по логин-паролю.

Что получается. Доменные ПК автоматически подключаются к wifi еще до входа пользователя на ПК и попадают в свой VLAN. Личные ПК и сматфоны (BYOD) подключаются по логин-паролю и попадают в свой VLAN который не имеет полного доступа к локальной сети, а только к избранным ресурсам.

На личные ПК я сертификаты для WIFI не ставлю. Но если такая потребность появится, то для BYOD я сделают отдельные сертификат и политики ибо личные ПК с ломаным софтом и вирусами где каждый админ мне в локальной сети не нужны.

Comments

[lantonov]

Полностью согласен с вами именно как и надо делать

[lantonov]

Самое главное при выдаче сертификата поставить запрет на экспорт закрытого ключа и тогда его нельзя будет скопировать или перенести

Answer 2

[Юрий MikroTik]

WiFi EAP
Для доменной авторизации по группе ПК - в один влан
Для группы пользователей в другой влан
Для остальных - в гостевой влан

Answer 3

[PjaniyAdmin]

Делал похожее пару лет назад, на микротике. Подменял дест ip на адрес сранички. Девайсы это определяют и пишут что есть портал авторизации, на портале определяется какой ip у подключившегося и прописывает ему на микротике лист доступ инет. Но подробности уже прям точно не помню, лист вроде был динамический, если нет активности он удалялся чтоб все адреса не оказались прописанные.