Differences

This shows you the differences between two versions of the page.

--- авторизация_в_сети_wi-fi_на_сертификатах [2023/10/17 14:28] – jp
+++ авторизация_в_сети_wi-fi_на_сертификатах [2024/11/01 10:23] (current) – jp
@@ Line 19: / Line 19: @@
 :!: //Никаких дополнительных настроек, не показанных на скриншотах - не требуется.//
+;#;
 {{::wifi-conn-radius1.png?200|}}
 {{::wifi-conn-radius2.png?200|}}
 {{::wifi-conn-radius3.png?200|}}
+;#;
 ) Создаём сетевую политику. Данная политика будет определять - каким группам пользователей или компьютеров можно подключаться к сети. Группа, использованная на примере - это группа Active Directory, содержащая аккаунты компьютеров - именно ей будет разрешен доступ (если у компьютера есть валидный сертификат).
@@ Line 27: / Line 29: @@
 :!: //Никаких дополнительных настроек, не показанных на скриншотах - не требуется.//
+;#;
 {{::wifi-net-pol1.jpg?200|}}
 {{::wifi-net-pol2.jpg?200|}}
 {{::wifi-net-pol3.jpg?200|}}
 {{::wifi-net-pol4.jpg?200|}}
+;#;
 ) На всякий случай включим логирование событий RADIUS, чтобы в event-лог стали записываться события, связанные с NPS (логи будут появляться в разделе //system//).
@@ Line 41: / Line 46: @@
 ) Подключаемся к нему через //Winbox//, заходим в раздел //RADIUS// и добавляем наш NPS. Указываем адрес сервера, source-адрес, с которого //Mikrotik// будет подключаться, порт и другие параметры.
+;#;
 {{::radius_capsman.jpg?200|}}
+;#;
 ) Выставляем в разделе //CAPSMAN// следующие параметры безопасности.
+;#;
 {{::capsman_security.jpg?200|}}
+;#;
 ) Прибиваем эти параметры к конфигурации беспроводной сети в разделе //CAPSMAN// -> //Configurations//.
+;#;
 {{::radius_capsman_sec.jpg?200|}}
+;#;
 Логи запросов к RADIUS можно почитать в разделе //logs//. Возможно, нам потребуется расширить уровень логгирования для событий, связанных с RADIUS.
@@ Line 57: / Line 71: @@
 ) Если на нашем компьютере уже есть изданный сертификат, а УЦ PKI добавлены в доверенные, то можно переходить к настройке беспроводного подключения. Для этого воспользуемся мастером добавления подключения Wi-Fi вручную (апплет старой панели управления).
+;#;
 {{::w11-wifi-manual.jpg?200|}}
+;#;
 ) Вводим SSID сети, в параметрах выбираем //WPA2-Personal//.
@@ Line 63: / Line 79: @@
 ) В настройке дальнейших параметров - имеет смысл оринтироваться на скриншоты ниже. Здесь важно выбрать тип безопасности, правильный  режим проверки подлинности (в примере мы авторизовываем компьютеры, а не пользователей), отметить корневой УЦ нашего PKI, выбрать метод проверки подлинности //"Microsoft: Смарт-карта"//, указать имя RADIUS-сервера, к которому мы собираемся подключаться.
+;#;
 {{::wifi_w11_settings1.jpg?200|}}
 {{::wifi_w11_settings2.jpg?200|}}
 {{::wifi_w11_settings3.jpg?200|}}
+;#;
 ) Если требуется по любой причине отредактировать уже созданный профиль Wi-Fi сети - нам поможет программа //ManageWirelessNetworks// от //NirSoft//, т.к. в новом интерфейсе //Windows 11// невозможно отредактировать все параметры. //ManageWirelessNetworks// выведет все созданные профили Wi-Fi и позволит отредактировать нужные (//Edit Wireless Network//) в старом диалоговом окне.
+;#;
 {{::manage-wlan-nirsoft.jpg?400|}}
+;#;
 Программа доступна по ссылке: https://www.nirsoft.net/utils/manage_wireless_networks.html
+** Распространение параметров сети для Windows через GPO **
+Чтобы настроить распространение параметров сети для клиентов - нам необходимо скопировать настройки, которые мы сделали вручную в профиль, доступный в настройке GPO.
+Создание конфигурации и настройка политики происходит в разделе: //Computer configuration -> Windows Settings -> Security Settings -> Wireless Network (IEEE 802.11) Policies//.
+Для WPA2 Enterprise тип конфигурации должен быть "инфраструктурный", а шифрование всегда //AES-CCMP// (другие типы шифрования используются для WPA2 Personal).
+Пример создания работающей конфигурации через GPO.
+;#;
+{{::wi_fi_enterprise_wpa2_pr1.jpg?200|}}
+{{::wi_fi_enterprise_wpa2_pr2.jpg?200|}}
+{{::wi_fi_enterprise_wpa2_pr3.jpg?200|}}
+{{::wi_fi_enterprise_wpa2_pr4.jpg?200|}}
+;#;
 ** Решение возможных проблем **
@@ Line 103: / Line 140: @@
 В Ubuntu при подключении к сети нам требуется указать безопасность //WPA2 Enterprise//, аутентификацию //TLS//, //identity//, равный //UPN//, который мы сделали в сертификате, сертификат корневого центра нашего PKI, а также открытый и закрытый ключи сертификата компьютера, сгенерированного для Linux-машины. Пример настроек:
+;#;
 {{::ubuntu_nps_wifi_connect.jpg?200|}}
+;#;
 :!: //Даже если приватный ключ не защищен паролем, Ubuntu будет его запрашивать. В этом случае можно ввести любой пароль и всё будет работать.//
@@ Line 125: / Line 165: @@
 Пример настройки //iMazing Profile Editor// на скриншотах.
+;#;
 {{::wpa2_enterprise_mac_profile1.jpg?200|}}
 {{::wpa2_enterprise_mac_profile2.jpg?200|}}
 {{::wpa2_enterprise_mac_profile3.jpg?200|}}
+;#;
 Теперь необходимо скопировать конфиг и установить //*.mobileconfig// на MacOS. При попытке установить профиль настроек - получим предупреждение о том, что добавляемый профиль нужно вручную просмотреть в системных настройках.
@@ Line 135: / Line 177: @@
 Также, нам необходимо установить сертификат корневого УЦ в центры сертификации MacOS и проставить доверие. Пример:
+;#;
 {{::mac_ca_trust.jpg?200|}}
+;#;
 Возможно, в центры сертификации также нужно добавить издающий УЦ.
@@ Line 145: / Line 189: @@
 После установки профиля, если всё сделано верно - сеть, вместо пароля пользователя для аутентификации - предложит выбрать сертификат (при этом, поля для ввода имени учётной записи и пароля всё равно будут видимыми, но их можно оставить пустыми - главное указать сертификат компьютера), после чего рабочая станция успешно подключится к сети WPA2 Enterprise.
-{{tag>RADIUS Networking NPS Windows Microsoft Wi-Fi Mikrotik CAPSMAN Certificates Linux Ubuntu MacOS}}
+{{tag>RADIUS Networking NPS Windows Microsoft Wi-Fi Mikrotik CAPSMAN Certificates Linux Ubuntu MacOS GPO}}