Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Корпоративный беспроводной доступ с AD RADIUS, UniFi Network
 
#1
26.02.2013 20:11:00
Привет! Я уже долго пытаюсь настроить беспроводные точки доступа UNIFI AP Pro с поддержкой Enterprise RADIUS на Windows Server 2008 R2 STD, но ничего не выходит. Кто-нибудь может подсказать, как правильно это сделать? Эти точки доступа вообще поддерживают Enterprise Wireless? Спасибо!
 
 
 
#2
17.05.2013 06:14:00
Вам нужно купить коммерческий сертификат, но обратите внимание, чтобы ваш CA поддерживал добавление атрибута ExtendedKeyUsage «Web Server Authentication», иначе (только для Windows!) клиенты не смогут подключиться. (Более технические детали можно посмотреть на FreeRADIUS wiki: http://wiki.freeradius.org/guide/Certificate%20Compatibility) Некоторые CAs требуют, чтобы этот ExtendedKeyUsage был указан, иначе они его не добавят. Я использую StartSSL (хотя и с FreeRADIUS), так как они поддерживают это расширение, посмотрите CPS (Certificate Practice Statement) вашей CA на предмет Web Server Authentication или Object Identifier (OID) 1.3.6.1.5.5.7.3.1.

Даже при этом на Mac пользователи будут видеть проверку сертификата, но им покажут, что сертификат действительно действителен.

Кроме того, обязательно нужно предоставить пользователям инструкцию для Windows XP/Vista/7, потому что (к сожалению) при подключении система попытается аутентифицироваться неправильным способом (пытается использовать локальные учетные данные или учетную запись компьютера). Лучше сразу показать им безопасный способ, как это делает, например, этот университет с eduroam — для вдохновения: http://www.oucs.ox.ac.uk/network/wireless/services/eduroam/windows7/

Одна из проблем может быть с промежуточными корневыми CA — их тоже нужно установить на сервер, чтобы сервер мог передавать промежуточные сертификаты в ходе аутентификации (очень похоже на работу с SSL на веб-серверах). Это важно, так как клиенты обычно доверяют только корневому CA на вершине цепочки доверия, иначе они не смогут проверить сертификат.

Общий опыт работы с устройствами на сегодняшний день:
- iOS и OS X показывают проверку сертификата, но если всё сделано правильно, пользователям показывается, что сертификат валиден;
- Android 2.x / 4.x: большинство устройств либо не умеют, либо не обращают внимания на сертификат сервера;
- Windows — самый привередливый (ExtendedKeyUsage), если для Windows всё работает, скорее всего, будет работать и на других системах.
 
 
 
#3
17.05.2013 04:40:00
Всем привет! Спасибо за ваши ответы. Мы не хотим вручную устанавливать сертификаты на ноутбуках студентов — это слишком долго. Также не хочется давать им инструкции по изменению настроек беспроводного подключения — это создаст кучу проблем для службы поддержки. Подтвердите, пожалуйста, что если мы получим публичный сертификат от авторизованного центра сертификации, то эта проблема решится, и пользователям останется лишь войти в домен, используя имя пользователя и пароль?
 
 
 
#4
16.05.2013 17:36:00
На Android можно оставить поле анонимного идентификатора пустым и просто заполнить поля идентификатора и пароля.
 
 
 
#5
16.05.2013 17:35:00
В Ubuntu вручную измените тип аутентификации с TLS на PEAP.
 
 
 
#6
16.05.2013 17:34:00
На Mac или устройстве iOS просто подключитесь, введите свои данные для входа и нажмите «Принять», когда появится уведомление о сертификате.
 
 
 
#7
16.05.2013 17:33:00
На клиенте с Windows XP, Vista, 7 и 8 вы можете:  
1. Удалить любое существующее беспроводное подключение к вашему SSID из списка сетей.  
2. Вручную добавить беспроводную сеть с вашим SSID и WPA2-Enterprise.  
3. Не закрывайте окно! Вместо этого выберите конфигурацию сети.  
4. Найдите три опции на вкладках "Безопасность" и "Дополнительно":  
- Снять галочку с "Проверять сертификат"  
- Снять галочку с "Автоматически входить, используя доменную учетную запись Windows"  
- В разделе "Войти как пользователь" (флажок и выпадающий список) выберите нужные параметры  
5. Закройте и сохраните настройку сети.  
6. Подключитесь к сети. Появится сообщение, что подключиться не удалось, но также вы увидите уведомление с просьбой ввести дополнительные данные. Нажмите на это уведомление.  
7. Введите свои учетные данные.  
8. Восьмого шага нет! Вы подключены к сети WPA-Enterprise без домена Windows и с использованием бесплатного сертификата.  
Удачи,  
Ed
 
 
 
#8
16.05.2013 04:24:00
Привет, в итоге это было с компьютерами, не входящими в домен? У меня такая же проблема, но с не доменными ПК — не могу это заставить работать.
 
 
 
Страницы: 1
Читают тему (гостей: 1)