我们是一家小型办公室,有一个 Cisco Aironet 1250 接入点,设置为 WPA-PSK。现在我们已经部署了 Active Directory,我想开始通过 radius 而不是 PSK 对我的用户进行身份验证。
为此,我在 SBS 2011 服务器上安装了 NPS。WiFi 客户端包括一些公司笔记本电脑、一些个人 iPhone、iPad、Android 手机等。即各种设备的混合,并非所有设备都已加入域。
看来 Aironet 支持的所有涉及 radius 的身份验证方法都需要某种 PKI 基础设施。我设法轻松配置了我们的 Cisco ASA 5505,以针对同一 radius 服务器对 IPSEC VPN 客户端进行身份验证,但不知道如何设置 Aironet。我真的需要在所有这些设备上安装我的 NPS 服务器证书吗,就像我看到一些人建议的那样?
答案1
Cisco 接入点可以使用两种常见的 802.1X 每用户身份验证形式。802.1X EAP 需要 NPS 服务器、客户端计算机和客户端用户的证书。这通常只能通过使用智能卡来实现,因此用户的证书会跟随它们。
使用 802.1X 进行每用户身份验证的另一种更常见的方法是 802.1X PEAP,它使用 NPS 服务器上的证书,以便客户端可以验证服务器,并在用户登录时使用用户的 Windows 用户名和密码进行客户端身份验证。此外,当没有用户登录时,Windows 域计算机帐户用于无线身份验证,因此,如果您在 NPS 规则中使用组,请务必记住,除了所有用户外,还要包含一个包含所有计算机的组。
请注意,接入点不会获得证书。客户端称为“请求者”,服务器需要对其进行身份验证。NPS 服务器是“身份验证服务器”,客户端需要对其进行身份验证。但是,接入点称为“身份验证器”,是请求者和身份验证服务器之间的中间人,因此客户端不需要对其进行身份验证。NPS 服务器根据 RADIUS 共享机密对接入点进行“身份验证”。
最后,这不需要是公开信任的 SSL 证书。您可以在域中设置企业 CA,域中的所有计算机都会信任它。
希望这可以帮助!
-埃里克