Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
WPA2-Enterprise с RADIUS > "Сетевое предупреждение безопасности", UniFi Network
 
#1
16.02.2018 19:55:00
У меня настроен UniFi сервер для аутентификации клиентов через RADIUS сервер на Windows Server 2016, и всё отлично работало до недавнего времени. Клиенты WiFi — это компьютеры с Windows 10, которые входят в тот же домен Active Directory, что и сервер, и я аутентифицирую именно компьютеры, а не пользователей. Раньше клиенты подключались без проблем; они доверяли сертификату сервера просто потому, что были в домене. Но недавно всё изменилось, и теперь пользователям показывается сообщение: «Сетевая безопасность: Windows не может проверить подлинность сервера. Если вы ожидаете найти %1 в этом месте, можете продолжить подключение. В противном случае это может быть другая сеть с таким же именем.» Когда я смотрю «Сведения о сертификате», там указан «отпечаток сервера», и он совпадает с тем, что на сервере. Есть идеи? Подозреваю, что это связано либо с недавним обновлением UniFi, либо Windows (а может, Ubuntu?), но не знаю, с чего начать искать проблему.
 
 
 
#2
10.01.2019 14:58:00
Спасибо, TRS-80! Очень справедливое замечание. Я создал новый шаблон сертификата в нашей PKI и выпустил новый сертификат, добавил его в конфигурацию Radius-серверов, и… проблема осталась. Windows PKI даже не знает про eapOverLAN, поэтому я создал идентификатор самостоятельно. Он отображался в сертификате, но не помог. Меня до сих пор удивляет, что эта проблема возникла после очередного обновления от Microsoft. Мои пользователи уже привыкли, но я все равно буду следить за возможными решениями, так что спасибо, что поделился своим вариантом :-)
 
 
 
#3
10.01.2019 07:22:00
Пробовали ли вы сделать сертификат с 1.3.6.1.5.5.7.3.14 (eapOverLAN) в расширенном использовании ключа? Я столкнулся с этой проблемой недавно, правда с easy-rsa, а не с ADCS, и создание нового, но в остальном такого же сертификата с этим EKU (который, как я думал, не нужен с времён XP) позволило компьютерам присоединяться без запроса подтверждения.
 
 
 
#4
10.04.2018 14:02:00
Из любопытства, какой у вас был/есть интервал публикации сертификата? Возможно, именно поэтому сертификат SHA-256 пока не решил проблему. Сейчас я сталкиваюсь с той же ситуацией и планирую предпринять те же шаги, что и вы, но надеюсь найти способ сократить этот интервал, чтобы убедиться, что проблема решится за более короткий тестовый период.
 
 
 
#5
14.03.2018 10:00:00
У нас та же проблема. Кто-нибудь решил её «по-настоящему», не удаляя обновление KB? Сначала я подумал, что дело в том, что наш WiFi-сертификат всё ещё использует SHA-1 (хотя наш PKI был обновлён до SHA-256 ещё несколько месяцев назад), поэтому я выпустил новый сертификат для сервера Radius / NPS. Но ошибка осталась та же. Root CA и Intermediate CA известны всем сторонам. Я перепробовал всё (кроме удаления KB, что, по моему мнению, не вариант, ведь оно исправляет проблемы с безопасностью) и всё ещё застрял на той же проблеме.
 
 
 
#6
03.03.2018 07:32:00
Та же проблема у меня. Нашёл обсуждение на reddit. Похоже, связано с обновлением Windows 10 KB4074588.
 
 
 
Страницы: 1
Читают тему (гостей: 1)