[Techinfo] wifi radiussal jelszó nélkül /EAP-TLS/ kizárólag tanúsítványokkal

[Horváth Péter]

Szerintem az már egy másik protokoll hogy csak tanusítvánnyal authentikál.
Pl a cisco aironet 1100 AP-ben van olyan beállítás, hogy authentication 
mode:
WPA EAP, vagy csak EAP.

De a kozönséges AP-k szerintem csak az elsőt támogatják 802.1x néven.

Itt szerintem csak azt tudnád elérni, hogy ugyanúgy kell 
username/password, mint eddig, de érvényes tanusítvány is kell
legyen a kliens gépen.

Nálam Zeroshell van EAP-TLS radiussal. Ha csak szimplán konnektálok egy 
windows-al, usernam/password megadással,
akkor a windows problémázik hogy nem biztonságos, de aztán engedi a 
csatlakozást. Ha a kliens PC-re telepítem a tanusítványokat, amiket a 
zeroshell generál,
akkor nincs semmi problémázás. Lehet hogy server oldalon ezt be lehetne 
lőni valami group policy-val, hogy kliens tanusítvány nélkül ne engedje.


2018.01.19. 14:35 keltezéssel, Fehér Sándor írta:
> Sziasztok!
>
> Jelenlegi windows server 2012 r2-n fut egy NPS szerver. Ezen egyelőre 
> PEAP-mschap-v2 hitelesítéssel lehet autholni megfelelő 
> felhasználó/jelszó birtokában, amit az AD-ben tudok managelni.
>
> Meglehet-e oldani, hogy az NPS szerver EAP-TLS hitelesítéssel 
> kizárólag tanusítványokkal hitelesítsen?? ( úgy hogy ne kelljen 
> megadni user/passt és GPO-ból tudjam hozzáadni a wifi profilokat)
>
> Most az a gondom, hogy ha GPO-ból hozzáadom a PEAP authos wifi 
> profilt, a jelszót be kell írni a gépen a wifihez.
>
> Lehet EAP-TLS-t az nps-el jelszó/felhasználónév nélkül csinálni?
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>