大概有点混乱,让我来解释一下情况。
我们公司希望通过PEAPauthentication实施企业无线LAN 。 不幸的是,10年前,有人在我们的Active Directorydevise中犯了一个大错误。
我们使用的域名company.ch不属于我们公司,而是由其他人拥有。 这使得无法为RADIUS服务器颁发公共SSL证书,而且我们的Active Directory域太大而无法重命名。
我们已经考虑过使用我们的私人PKI并通过GPO推出CA生成的证书,但这只会覆盖我们的企业pipe理的客户端,而不是我们的BYOD策略(智能手机,平板电脑,笔记本电脑)环境中的任何设备。 )
有没有办法添加像company2.ch这样的二级域名,针对它颁发一个公共证书,并将RADIUSjoin到该二级域名,那么我们可以通过DHCP为所有客户端池configuration二级域名?
或者有另外一种方法,例如,在自己的域( company2.ch )上有一个新的RADIUS服务器,它连接到company.ch域的某种信任?
我不是一个客户服务器的人,但希望你得到我的漂移。
首先,让我说,你(好吧,也许你的老板)真的需要脱离使用你不属于自己的域名。 你说现在做这个太大了,但是你是短视的。 如果现在改变“太大”,将来会发生什么,甚至更大? 你只是让问题发展壮大起来,直到(如果公司真的成功并继续成长),你最终会遇到一个真正“太大”的问题,你将花费大量的金钱的金钱和时间,并创造了很多用户的影响,以纠正你现在可能会纠正的东西,而不需要太多的努力。 至less,您应该看看您是否可以从当前所有者那里购买您的AD正在使用的域名,这将是纠正此问题的最快捷方式。
无论如何,假设你的老板不愿意实际上是合理的,聪明的,或者对未来的考虑比下一个奖金支票还要多,那么你在问题中提到了一个相当东方的方法。
你想要做的是:
RADIUS / NPS服务器,该服务器具有对旧域进行身份validation的权限,或者只是您的支持RADIUS的设备,并允许他们对旧域进行身份validation(或者您希望这样做)。 SSL证书都将被旧域接受,如果这是您的路线。