| Both sides previous revisionPrevious revisionNext revision | Previous revision |
| авторизация_в_сети_wi-fi_на_сертификатах [2023/10/17 14:18] – jp | авторизация_в_сети_wi-fi_на_сертификатах [2024/11/01 10:23] (current) – jp |
|---|
| :!: //Никаких дополнительных настроек, не показанных на скриншотах - не требуется.// | :!: //Никаких дополнительных настроек, не показанных на скриншотах - не требуется.// |
| |
| | ;#; |
| {{::wifi-conn-radius1.png?200|}} | {{::wifi-conn-radius1.png?200|}} |
| {{::wifi-conn-radius2.png?200|}} | {{::wifi-conn-radius2.png?200|}} |
| {{::wifi-conn-radius3.png?200|}} | {{::wifi-conn-radius3.png?200|}} |
| | ;#; |
| |
| 3) Создаём сетевую политику. Данная политика будет определять - каким группам пользователей или компьютеров можно подключаться к сети. Группа, использованная на примере - это группа Active Directory, содержащая аккаунты компьютеров - именно ей будет разрешен доступ (если у компьютера есть валидный сертификат). | 3) Создаём сетевую политику. Данная политика будет определять - каким группам пользователей или компьютеров можно подключаться к сети. Группа, использованная на примере - это группа Active Directory, содержащая аккаунты компьютеров - именно ей будет разрешен доступ (если у компьютера есть валидный сертификат). |
| :!: //Никаких дополнительных настроек, не показанных на скриншотах - не требуется.// | :!: //Никаких дополнительных настроек, не показанных на скриншотах - не требуется.// |
| |
| | ;#; |
| {{::wifi-net-pol1.jpg?200|}} | {{::wifi-net-pol1.jpg?200|}} |
| {{::wifi-net-pol2.jpg?200|}} | {{::wifi-net-pol2.jpg?200|}} |
| {{::wifi-net-pol3.jpg?200|}} | {{::wifi-net-pol3.jpg?200|}} |
| {{::wifi-net-pol4.jpg?200|}} | {{::wifi-net-pol4.jpg?200|}} |
| | ;#; |
| | |
| |
| 4) На всякий случай включим логирование событий RADIUS, чтобы в event-лог стали записываться события, связанные с NPS (логи будут появляться в разделе //system//). | 4) На всякий случай включим логирование событий RADIUS, чтобы в event-лог стали записываться события, связанные с NPS (логи будут появляться в разделе //system//). |
| 1) Подключаемся к нему через //Winbox//, заходим в раздел //RADIUS// и добавляем наш NPS. Указываем адрес сервера, source-адрес, с которого //Mikrotik// будет подключаться, порт и другие параметры. | 1) Подключаемся к нему через //Winbox//, заходим в раздел //RADIUS// и добавляем наш NPS. Указываем адрес сервера, source-адрес, с которого //Mikrotik// будет подключаться, порт и другие параметры. |
| |
| | ;#; |
| {{::radius_capsman.jpg?200|}} | {{::radius_capsman.jpg?200|}} |
| | ;#; |
| | |
| |
| 2) Выставляем в разделе //CAPSMAN// следующие параметры безопасности. | 2) Выставляем в разделе //CAPSMAN// следующие параметры безопасности. |
| |
| | ;#; |
| {{::capsman_security.jpg?200|}} | {{::capsman_security.jpg?200|}} |
| | ;#; |
| | |
| |
| 3) Прибиваем эти параметры к конфигурации беспроводной сети в разделе //CAPSMAN// -> //Configurations//. | 3) Прибиваем эти параметры к конфигурации беспроводной сети в разделе //CAPSMAN// -> //Configurations//. |
| |
| | ;#; |
| {{::radius_capsman_sec.jpg?200|}} | {{::radius_capsman_sec.jpg?200|}} |
| | ;#; |
| | |
| |
| Логи запросов к RADIUS можно почитать в разделе //logs//. Возможно, нам потребуется расширить уровень логгирования для событий, связанных с RADIUS. | Логи запросов к RADIUS можно почитать в разделе //logs//. Возможно, нам потребуется расширить уровень логгирования для событий, связанных с RADIUS. |
| 1) Если на нашем компьютере уже есть изданный сертификат, а УЦ PKI добавлены в доверенные, то можно переходить к настройке беспроводного подключения. Для этого воспользуемся мастером добавления подключения Wi-Fi вручную (апплет старой панели управления). | 1) Если на нашем компьютере уже есть изданный сертификат, а УЦ PKI добавлены в доверенные, то можно переходить к настройке беспроводного подключения. Для этого воспользуемся мастером добавления подключения Wi-Fi вручную (апплет старой панели управления). |
| |
| | ;#; |
| {{::w11-wifi-manual.jpg?200|}} | {{::w11-wifi-manual.jpg?200|}} |
| | ;#; |
| |
| 2) Вводим SSID сети, в параметрах выбираем //WPA2-Personal//. | 2) Вводим SSID сети, в параметрах выбираем //WPA2-Personal//. |
| 3) В настройке дальнейших параметров - имеет смысл оринтироваться на скриншоты ниже. Здесь важно выбрать тип безопасности, правильный режим проверки подлинности (в примере мы авторизовываем компьютеры, а не пользователей), отметить корневой УЦ нашего PKI, выбрать метод проверки подлинности //"Microsoft: Смарт-карта"//, указать имя RADIUS-сервера, к которому мы собираемся подключаться. | 3) В настройке дальнейших параметров - имеет смысл оринтироваться на скриншоты ниже. Здесь важно выбрать тип безопасности, правильный режим проверки подлинности (в примере мы авторизовываем компьютеры, а не пользователей), отметить корневой УЦ нашего PKI, выбрать метод проверки подлинности //"Microsoft: Смарт-карта"//, указать имя RADIUS-сервера, к которому мы собираемся подключаться. |
| |
| | ;#; |
| {{::wifi_w11_settings1.jpg?200|}} | {{::wifi_w11_settings1.jpg?200|}} |
| {{::wifi_w11_settings2.jpg?200|}} | {{::wifi_w11_settings2.jpg?200|}} |
| {{::wifi_w11_settings3.jpg?200|}} | {{::wifi_w11_settings3.jpg?200|}} |
| | ;#; |
| |
| 4) Если требуется по любой причине отредактировать уже созданный профиль Wi-Fi сети - нам поможет программа //ManageWirelessNetworks// от //NirSoft//, т.к. в новом интерфейсе //Windows 11// невозможно отредактировать все параметры. //ManageWirelessNetworks// выведет все созданные профили Wi-Fi и позволит отредактировать нужные (//Edit Wireless Network//) в старом диалоговом окне. | 4) Если требуется по любой причине отредактировать уже созданный профиль Wi-Fi сети - нам поможет программа //ManageWirelessNetworks// от //NirSoft//, т.к. в новом интерфейсе //Windows 11// невозможно отредактировать все параметры. //ManageWirelessNetworks// выведет все созданные профили Wi-Fi и позволит отредактировать нужные (//Edit Wireless Network//) в старом диалоговом окне. |
| |
| | ;#; |
| {{::manage-wlan-nirsoft.jpg?400|}} | {{::manage-wlan-nirsoft.jpg?400|}} |
| | ;#; |
| |
| Программа доступна по ссылке: https://www.nirsoft.net/utils/manage_wireless_networks.html | Программа доступна по ссылке: https://www.nirsoft.net/utils/manage_wireless_networks.html |
| | |
| | ** Распространение параметров сети для Windows через GPO ** |
| | |
| | Чтобы настроить распространение параметров сети для клиентов - нам необходимо скопировать настройки, которые мы сделали вручную в профиль, доступный в настройке GPO. |
| | |
| | Создание конфигурации и настройка политики происходит в разделе: //Computer configuration -> Windows Settings -> Security Settings -> Wireless Network (IEEE 802.11) Policies//. |
| | |
| | Для WPA2 Enterprise тип конфигурации должен быть "инфраструктурный", а шифрование всегда //AES-CCMP// (другие типы шифрования используются для WPA2 Personal). |
| | |
| | Пример создания работающей конфигурации через GPO. |
| | |
| | ;#; |
| | {{::wi_fi_enterprise_wpa2_pr1.jpg?200|}} |
| | {{::wi_fi_enterprise_wpa2_pr2.jpg?200|}} |
| | {{::wi_fi_enterprise_wpa2_pr3.jpg?200|}} |
| | {{::wi_fi_enterprise_wpa2_pr4.jpg?200|}} |
| | ;#; |
| |
| ** Решение возможных проблем ** | ** Решение возможных проблем ** |
| В Ubuntu при подключении к сети нам требуется указать безопасность //WPA2 Enterprise//, аутентификацию //TLS//, //identity//, равный //UPN//, который мы сделали в сертификате, сертификат корневого центра нашего PKI, а также открытый и закрытый ключи сертификата компьютера, сгенерированного для Linux-машины. Пример настроек: | В Ubuntu при подключении к сети нам требуется указать безопасность //WPA2 Enterprise//, аутентификацию //TLS//, //identity//, равный //UPN//, который мы сделали в сертификате, сертификат корневого центра нашего PKI, а также открытый и закрытый ключи сертификата компьютера, сгенерированного для Linux-машины. Пример настроек: |
| |
| | ;#; |
| {{::ubuntu_nps_wifi_connect.jpg?200|}} | {{::ubuntu_nps_wifi_connect.jpg?200|}} |
| | ;#; |
| | |
| |
| :!: //Даже если приватный ключ не защищен паролем, Ubuntu будет его запрашивать. В этом случае можно ввести любой пароль и всё будет работать.// | :!: //Даже если приватный ключ не защищен паролем, Ubuntu будет его запрашивать. В этом случае можно ввести любой пароль и всё будет работать.// |
| https://imazing.com/profile-editor/download/windows | https://imazing.com/profile-editor/download/windows |
| |
| В полях создаваемого профилья заполняем //SSID// сети, тип шифрования //WPA2//, тип EAP - //TLS//, выставляем в //username// имя машины вместо имени пользователя, игнорируя запросы на пароль и предупреждения утилиты о том, что обязательные поля не заполнены. Также вводим возможные имена NPS сервера\серверов, выбираем источник данных для входа - //Active Directory// и заполняем //UUID// значением нашего UPN. Не ясно - влияет ли это на конфигурацию в конечном счёте, но это работает. Все остальные поля конфигурации можно не заполнять и переходить к экспорту конфигурации, которая будет сохранена в файл с расширением //*.mobileconfig//. | В полях создаваемого профиля заполняем //SSID// сети, тип шифрования //WPA2//, тип EAP - //TLS//, выставляем в //username// имя машины - вместо имени пользователя, игнорируя запросы на пароль и предупреждения утилиты о том, что обязательные поля не заполнены. Также вводим возможные имена NPS сервера\серверов, выбираем источник данных для входа - //Active Directory// и заполняем //UUID// значением нашего UPN. Не ясно - влияет ли это на конфигурацию в конечном счёте, но это работает. Все остальные поля конфигурации можно не заполнять и переходить к экспорту конфигурации, которая будет сохранена в файл с расширением //*.mobileconfig//. |
| |
| Пример настройки //iMazing Profile Editor// на скриншотах. | Пример настройки //iMazing Profile Editor// на скриншотах. |
| |
| | ;#; |
| {{::wpa2_enterprise_mac_profile1.jpg?200|}} | {{::wpa2_enterprise_mac_profile1.jpg?200|}} |
| {{::wpa2_enterprise_mac_profile2.jpg?200|}} | {{::wpa2_enterprise_mac_profile2.jpg?200|}} |
| {{::wpa2_enterprise_mac_profile3.jpg?200|}} | {{::wpa2_enterprise_mac_profile3.jpg?200|}} |
| | ;#; |
| | |
| | Теперь необходимо скопировать конфиг и установить //*.mobileconfig// на MacOS. При попытке установить профиль настроек - получим предупреждение о том, что добавляемый профиль нужно вручную просмотреть в системных настройках. |
| | |
| | Идём в системные настройки и ищем пункт //профили//. В списке профилей обнаружится наш новый профиль, который необходимо установить. Установка потребует подтверждения и ввода пароля локального администратора. |
| | |
| | Также, нам необходимо установить сертификат корневого УЦ в центры сертификации MacOS и проставить доверие. Пример: |
| |
| Теперь необходимо скопировать конфиг и установить //*.mobileconfig// на MacOS. При попытке установить сертификат - получим предупреждение о том, что добавляемый профиль нужно вручную просмотреть в системных настройках. | ;#; |
| | {{::mac_ca_trust.jpg?200|}} |
| | ;#; |
| |
| Идём в системные настройки и ищем пункт //профили//. В списке профилей обнаружится новый профиль, который необходимо установить. Установка потребует подтверждения и ввода пароля локального администратора. | Возможно, в центры сертификации также нужно добавить издающий УЦ. |
| |
| Также, нужно установить сертификат корневого УЦ в доверенные корневые центры сертификации MacOS. А сертификат, сгенерированный для рабочей станции на Mac - в раздел //вход// связки ключей ОС. Это можно сделать, использовав пункт меню //файл// -> //добавить связку ключей// и введя пароль от PFX. | Сертификат, сгенерированный для рабочей станции на Mac - в раздел //вход// связки ключей ОС. Это можно сделать, использовав пункт меню //файл// -> //добавить связку ключей// и введя пароль от PFX. |
| |
| :!: //Важно установить сертификат именно в этот раздел, поскольку, если мы установим сертификат в раздел система - MacOS будет каждый раз требовать пароль локального администратора при подключении к сети wi-fi.// | :!: //Важно установить сертификат именно в этот раздел, поскольку, если мы установим сертификат в раздел система - MacOS будет каждый раз требовать пароль локального администратора при подключении к сети wi-fi.// |
| |
| После установки профиля, если всё сделано верно - сеть, вместо пароля пользователя для аутентификации - предложит выбрать сертификат (при этом поле для ввода имени учётной записи и пароля всё равно будет появляться, но его можно оставить пустым - главное указать сертификат компьютера). | После установки профиля, если всё сделано верно - сеть, вместо пароля пользователя для аутентификации - предложит выбрать сертификат (при этом, поля для ввода имени учётной записи и пароля всё равно будут видимыми, но их можно оставить пустыми - главное указать сертификат компьютера), после чего рабочая станция успешно подключится к сети WPA2 Enterprise. |
| |
| {{tag>RADIUS Networking NPS Windows Microsoft Wi-Fi Mikrotik CAPSMAN Certificates Linux Ubuntu MacOS}} | {{tag>RADIUS Networking NPS Windows Microsoft Wi-Fi Mikrotik CAPSMAN Certificates Linux Ubuntu MacOS GPO}} |
