Comments 6
Скажите, а безопасна ли схема, при которой рабочие станции-члены домена подключаются к wifi-сети, авторизуясь с проверкой подлинности компьютера (сертификаты не используется)? Осуществляется ли при этом авторизация сервера?
Спасибо, добрый человек! Творчески переосмыслив мануал, я наконец-то смог подключить свой ноут с Win10 к корпоративному вайфаю. До этого приходилось использовать тезеринг через смарт с андроидом — там всё из коробки работает, без плясок с бубном.
Как по мне PEAP куда проще. Ленивые юзеры и с ним умудряются жаловаться на неудобства, что говорить когда даже технически подкованного специалиста задолбает к этому подключаться?
Кула то идти за клиент сертификатом который один на всех и попробуй его отозвать потом… Если у вас Windows среда с DC — поднимите прямо на DC серверах NPSы и сможете не только по человечески безопасную авторизацию проходить но и выдавать VLAN на основе принадлежности User к OU или Group. И машины простаивать не будут и надёжность будет. В догонку Unifi умеет обнаруживать и отсылать алерты об EvilAP по почте. Зачем все усложнять
Кула то идти за клиент сертификатом который один на всех и попробуй его отозвать потом… Если у вас Windows среда с DC — поднимите прямо на DC серверах NPSы и сможете не только по человечески безопасную авторизацию проходить но и выдавать VLAN на основе принадлежности User к OU или Group. И машины простаивать не будут и надёжность будет. В догонку Unifi умеет обнаруживать и отсылать алерты об EvilAP по почте. Зачем все усложнять
Согласен, только если есть DC)
Сертификат нужен не клиентский, а сертификат сервера. Например, если сотрудник берет с собой ноут домой, чтобы он никоем образом не смог подключиться к подменной точке. А отзывать сертификат не надо, блокировка делается в LDAP
И я не упоминал о подменных точках доступа в поле зрения Unifi) Понятно, что контроллер будет алерты слать и заблокирует видимость этой точки. Речь идет о носимых устройствах вне офиса.
Сертификат нужен не клиентский, а сертификат сервера. Например, если сотрудник берет с собой ноут домой, чтобы он никоем образом не смог подключиться к подменной точке. А отзывать сертификат не надо, блокировка делается в LDAP
И я не упоминал о подменных точках доступа в поле зрения Unifi) Понятно, что контроллер будет алерты слать и заблокирует видимость этой точки. Речь идет о носимых устройствах вне офиса.
Sign up to leave a comment.
WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti