3 votos

Es una PKI necesaria cuando autenticar una Cisco Aironet AP via radio contra anuncio

Somos una pequeña oficina y tener un Cisco Aironet 1250 punto de acceso conjunto a WPA-PSK. Ahora que hemos implementado Active Directory que me gustaría iniciar la autenticación de los usuarios a través de radio en lugar de una PSK.

Para ello he instalado NPS en mi servidor de SBS 2011. El WiFi clientes son algunas de empresa-ordenadores portátiles, personales, iPhones, iPads, teléfonos Android, etc. I. e. una mezcla de todo tipo de dispositivos, no todas unido al dominio.

Parece que todos los métodos de autenticación que implican la radio que el Aironet apoya requieren de algún tipo de infraestructura de PKI. Me las arreglé para configurar fácilmente nuestra Cisco ASA 5505 para autenticar IPSEC VPN a los clientes contra el mismo servidor radius, pero no puedo averiguar cómo configurar el Aironet. ¿Realmente necesito instalar mi NPS-servidor del cert en todos los dispositivos, como las que he visto que algunas personas sugieren?

4voto

Bobwise Puntos 392

Cisco puntos de Acceso se pueden utilizar dos formas comunes de 802.1 X autenticación por usuario. 802.1 X EAP requeriría certificados para el servidor NPS, los equipos cliente, y el cliente a los usuarios. Esto es más a menudo sólo se logra mediante el uso de tarjetas inteligentes para el certificado de usuario de la siguiente manera.

El otro, y más común, el método de uso de 802.1 X para hacer de cada usuario la autenticación 802.1 X PEAP, que utiliza un certificado en el servidor NPS para que los clientes pueden validar en el servidor, y el usuario de Windows del nombre de usuario y la contraseña para la autenticación de cliente cuando el usuario inicia sesión. Además, el dominio de Windows cuenta de equipo se utiliza para la autenticación inalámbrica cuando ningún usuario ha iniciado sesión, por lo que es importante recordar que si usted está utilizando grupos en el PN de la regla, incluya un grupo que tiene todos los equipos, además de a todos los usuarios.

Tenga en cuenta que el punto de acceso no obtener un certificado. El cliente es llamado el "suplicante" y necesita el servidor para autenticar. El servidor NPS es el "servidor de autenticación", y que los clientes necesitan para autentificarla. Sin embargo, el punto de acceso se llama el "autenticador" y es ser un intermediario entre el suplicante y el servidor de autenticación, de modo que los clientes no tienen que autenticarse. El servidor NPS "autentica" el punto de acceso en virtud de la RADIO de los secretos compartidos.

Por último, este no necesita ser un público certificado SSL de confianza. Puede configurar una CA de Empresa, en su dominio, y todos los equipos en el dominio de confianza.

Espero que esto ayude!

-Eric

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: