| Both sides previous revisionPrevious revisionNext revision | Previous revision |
| авторизация_в_сети_wi-fi_на_сертификатах [2024/11/01 10:22] – jp | авторизация_в_сети_wi-fi_на_сертификатах [2024/11/01 10:23] (current) – jp |
|---|
| |
| ;#; | ;#; |
| {{::wifi-conn-radius1.png?200|}}\\ | {{::wifi-conn-radius1.png?200|}} |
| {{::wifi-conn-radius2.png?200|}}\\ | {{::wifi-conn-radius2.png?200|}} |
| {{::wifi-conn-radius3.png?200|}} | {{::wifi-conn-radius3.png?200|}} |
| ;#; | ;#; |
| :!: //Никаких дополнительных настроек, не показанных на скриншотах - не требуется.// | :!: //Никаких дополнительных настроек, не показанных на скриншотах - не требуется.// |
| |
| | ;#; |
| {{::wifi-net-pol1.jpg?200|}} | {{::wifi-net-pol1.jpg?200|}} |
| {{::wifi-net-pol2.jpg?200|}} | {{::wifi-net-pol2.jpg?200|}} |
| {{::wifi-net-pol3.jpg?200|}} | {{::wifi-net-pol3.jpg?200|}} |
| {{::wifi-net-pol4.jpg?200|}} | {{::wifi-net-pol4.jpg?200|}} |
| | ;#; |
| | |
| |
| 4) На всякий случай включим логирование событий RADIUS, чтобы в event-лог стали записываться события, связанные с NPS (логи будут появляться в разделе //system//). | 4) На всякий случай включим логирование событий RADIUS, чтобы в event-лог стали записываться события, связанные с NPS (логи будут появляться в разделе //system//). |
| 1) Подключаемся к нему через //Winbox//, заходим в раздел //RADIUS// и добавляем наш NPS. Указываем адрес сервера, source-адрес, с которого //Mikrotik// будет подключаться, порт и другие параметры. | 1) Подключаемся к нему через //Winbox//, заходим в раздел //RADIUS// и добавляем наш NPS. Указываем адрес сервера, source-адрес, с которого //Mikrotik// будет подключаться, порт и другие параметры. |
| |
| | ;#; |
| {{::radius_capsman.jpg?200|}} | {{::radius_capsman.jpg?200|}} |
| | ;#; |
| | |
| |
| 2) Выставляем в разделе //CAPSMAN// следующие параметры безопасности. | 2) Выставляем в разделе //CAPSMAN// следующие параметры безопасности. |
| |
| | ;#; |
| {{::capsman_security.jpg?200|}} | {{::capsman_security.jpg?200|}} |
| | ;#; |
| | |
| |
| 3) Прибиваем эти параметры к конфигурации беспроводной сети в разделе //CAPSMAN// -> //Configurations//. | 3) Прибиваем эти параметры к конфигурации беспроводной сети в разделе //CAPSMAN// -> //Configurations//. |
| |
| | ;#; |
| {{::radius_capsman_sec.jpg?200|}} | {{::radius_capsman_sec.jpg?200|}} |
| | ;#; |
| | |
| |
| Логи запросов к RADIUS можно почитать в разделе //logs//. Возможно, нам потребуется расширить уровень логгирования для событий, связанных с RADIUS. | Логи запросов к RADIUS можно почитать в разделе //logs//. Возможно, нам потребуется расширить уровень логгирования для событий, связанных с RADIUS. |
| 1) Если на нашем компьютере уже есть изданный сертификат, а УЦ PKI добавлены в доверенные, то можно переходить к настройке беспроводного подключения. Для этого воспользуемся мастером добавления подключения Wi-Fi вручную (апплет старой панели управления). | 1) Если на нашем компьютере уже есть изданный сертификат, а УЦ PKI добавлены в доверенные, то можно переходить к настройке беспроводного подключения. Для этого воспользуемся мастером добавления подключения Wi-Fi вручную (апплет старой панели управления). |
| |
| | ;#; |
| {{::w11-wifi-manual.jpg?200|}} | {{::w11-wifi-manual.jpg?200|}} |
| | ;#; |
| |
| 2) Вводим SSID сети, в параметрах выбираем //WPA2-Personal//. | 2) Вводим SSID сети, в параметрах выбираем //WPA2-Personal//. |
| 3) В настройке дальнейших параметров - имеет смысл оринтироваться на скриншоты ниже. Здесь важно выбрать тип безопасности, правильный режим проверки подлинности (в примере мы авторизовываем компьютеры, а не пользователей), отметить корневой УЦ нашего PKI, выбрать метод проверки подлинности //"Microsoft: Смарт-карта"//, указать имя RADIUS-сервера, к которому мы собираемся подключаться. | 3) В настройке дальнейших параметров - имеет смысл оринтироваться на скриншоты ниже. Здесь важно выбрать тип безопасности, правильный режим проверки подлинности (в примере мы авторизовываем компьютеры, а не пользователей), отметить корневой УЦ нашего PKI, выбрать метод проверки подлинности //"Microsoft: Смарт-карта"//, указать имя RADIUS-сервера, к которому мы собираемся подключаться. |
| |
| | ;#; |
| {{::wifi_w11_settings1.jpg?200|}} | {{::wifi_w11_settings1.jpg?200|}} |
| {{::wifi_w11_settings2.jpg?200|}} | {{::wifi_w11_settings2.jpg?200|}} |
| {{::wifi_w11_settings3.jpg?200|}} | {{::wifi_w11_settings3.jpg?200|}} |
| | ;#; |
| |
| 4) Если требуется по любой причине отредактировать уже созданный профиль Wi-Fi сети - нам поможет программа //ManageWirelessNetworks// от //NirSoft//, т.к. в новом интерфейсе //Windows 11// невозможно отредактировать все параметры. //ManageWirelessNetworks// выведет все созданные профили Wi-Fi и позволит отредактировать нужные (//Edit Wireless Network//) в старом диалоговом окне. | 4) Если требуется по любой причине отредактировать уже созданный профиль Wi-Fi сети - нам поможет программа //ManageWirelessNetworks// от //NirSoft//, т.к. в новом интерфейсе //Windows 11// невозможно отредактировать все параметры. //ManageWirelessNetworks// выведет все созданные профили Wi-Fi и позволит отредактировать нужные (//Edit Wireless Network//) в старом диалоговом окне. |
| |
| | ;#; |
| {{::manage-wlan-nirsoft.jpg?400|}} | {{::manage-wlan-nirsoft.jpg?400|}} |
| | ;#; |
| |
| Программа доступна по ссылке: https://www.nirsoft.net/utils/manage_wireless_networks.html | Программа доступна по ссылке: https://www.nirsoft.net/utils/manage_wireless_networks.html |
| Пример создания работающей конфигурации через GPO. | Пример создания работающей конфигурации через GPO. |
| |
| | ;#; |
| {{::wi_fi_enterprise_wpa2_pr1.jpg?200|}} | {{::wi_fi_enterprise_wpa2_pr1.jpg?200|}} |
| {{::wi_fi_enterprise_wpa2_pr2.jpg?200|}} | {{::wi_fi_enterprise_wpa2_pr2.jpg?200|}} |
| {{::wi_fi_enterprise_wpa2_pr3.jpg?200|}} | {{::wi_fi_enterprise_wpa2_pr3.jpg?200|}} |
| {{::wi_fi_enterprise_wpa2_pr4.jpg?200|}} | {{::wi_fi_enterprise_wpa2_pr4.jpg?200|}} |
| | ;#; |
| |
| ** Решение возможных проблем ** | ** Решение возможных проблем ** |
| В Ubuntu при подключении к сети нам требуется указать безопасность //WPA2 Enterprise//, аутентификацию //TLS//, //identity//, равный //UPN//, который мы сделали в сертификате, сертификат корневого центра нашего PKI, а также открытый и закрытый ключи сертификата компьютера, сгенерированного для Linux-машины. Пример настроек: | В Ubuntu при подключении к сети нам требуется указать безопасность //WPA2 Enterprise//, аутентификацию //TLS//, //identity//, равный //UPN//, который мы сделали в сертификате, сертификат корневого центра нашего PKI, а также открытый и закрытый ключи сертификата компьютера, сгенерированного для Linux-машины. Пример настроек: |
| |
| | ;#; |
| {{::ubuntu_nps_wifi_connect.jpg?200|}} | {{::ubuntu_nps_wifi_connect.jpg?200|}} |
| | ;#; |
| | |
| |
| :!: //Даже если приватный ключ не защищен паролем, Ubuntu будет его запрашивать. В этом случае можно ввести любой пароль и всё будет работать.// | :!: //Даже если приватный ключ не защищен паролем, Ubuntu будет его запрашивать. В этом случае можно ввести любой пароль и всё будет работать.// |
| Пример настройки //iMazing Profile Editor// на скриншотах. | Пример настройки //iMazing Profile Editor// на скриншотах. |
| |
| | ;#; |
| {{::wpa2_enterprise_mac_profile1.jpg?200|}} | {{::wpa2_enterprise_mac_profile1.jpg?200|}} |
| {{::wpa2_enterprise_mac_profile2.jpg?200|}} | {{::wpa2_enterprise_mac_profile2.jpg?200|}} |
| {{::wpa2_enterprise_mac_profile3.jpg?200|}} | {{::wpa2_enterprise_mac_profile3.jpg?200|}} |
| | ;#; |
| |
| Теперь необходимо скопировать конфиг и установить //*.mobileconfig// на MacOS. При попытке установить профиль настроек - получим предупреждение о том, что добавляемый профиль нужно вручную просмотреть в системных настройках. | Теперь необходимо скопировать конфиг и установить //*.mobileconfig// на MacOS. При попытке установить профиль настроек - получим предупреждение о том, что добавляемый профиль нужно вручную просмотреть в системных настройках. |
| Также, нам необходимо установить сертификат корневого УЦ в центры сертификации MacOS и проставить доверие. Пример: | Также, нам необходимо установить сертификат корневого УЦ в центры сертификации MacOS и проставить доверие. Пример: |
| |
| | ;#; |
| {{::mac_ca_trust.jpg?200|}} | {{::mac_ca_trust.jpg?200|}} |
| | ;#; |
| |
| Возможно, в центры сертификации также нужно добавить издающий УЦ. | Возможно, в центры сертификации также нужно добавить издающий УЦ. |
