我们是一个小型办公室,并将Cisco Aironet 1250接入点设置为WPA-PSK。 现在我们已经部署了Active Directory,我想通过半径而不是PSK来validation用户。
为此,我在我的SBS 2011服务器上安装了NPS。 WiFi客户端是一些公司笔记本电脑,一些个人iPhone,iPad,Android手机等,即各种设备的组合,并非全部join到域中。
似乎所有涉及Aironet支持的radius的authentication方法都需要某种PKI基础设施。 我设法轻松地configuration我们的Cisco ASA 5505,以对同一个radius服务器validationIPSEC VPN客户端,但无法弄清楚如何设置Aironet。 我是否真的需要在所有这些设备上安装我的NPS服务器证书,就像我见过的一些人所build议的那样?
思科接入点可以使用两种常用forms的802.1X每用户authentication。 802.1X EAP将需要NPS服务器,客户端计算机和客户端用户的证书。 这通常只能通过使用智能卡来完成,所以用户的证书才会跟随它们。
使用802.1X进行每个用户authentication的另一种更常用的方法是802.1X PEAP,它在NPS服务器上使用证书,以便客户端可以validation服务器,以及用户的Windows用户名和密码以进行客户端authentication用户login。 此外,当没有用户login时,Windows域计算机帐户将用于无线身份validation,因此,记住是否使用NPS规则中的组是非常重要的,包括除所有用户之外还包含所有计算机的组。
请注意,访问点不会获得证书。 客户端称为“请求者”,服务器需要对其进行身份validation。 NPS服务器是“authentication服务器”,客户端需要对其进行authentication。 但是接入点被称为“authentication者”,并且是申请者和authentication服务器之间的中间人,因此客户端不需要对其进行authentication。 NPS服务器凭借RADIUS共享密钥“authentication”接入点。
最后,这并不需要是一个公开信任的SSL证书。 您可以在您的域上设置企业CA,域上的所有计算机都会信任它。
希望这可以帮助!
-Eric