通過 Radius 針對 AD 對 Cisco Aironet AP 進行身份驗證時是否需要 PKI
我們是一家小型辦公室,將 Cisco Aironet 1250 接入點設置為 WPA-PSK。現在我們已經部署了 Active Directory,我想開始通過 radius 而不是 PSK 來驗證我的使用者。
為此,我在我的 SBS 2011 伺服器上安裝了 NPS。WiFi 客戶端是一些公司的筆記型電腦、一些個人的 iPhone、iPad、Android 手機等。即各種設備的混合,並非所有設備都加入域。
似乎 Aironet 支持的所有涉及半徑的身份驗證方法都需要某種 PKI 基礎設施。我設法輕鬆配置我們的 Cisco ASA 5505 以針對同一個 radius 伺服器對 IPSEC VPN 客戶端進行身份驗證,但不知道如何設置 Aironet。我真的需要在所有這些設備上安裝我的 NPS 伺服器的證書嗎,就像我看到一些人建議的那樣?
Cisco 接入點可以使用兩種常見形式的 802.1X 每使用者身份驗證。802.1X EAP 需要 NPS 伺服器、客戶端電腦和客戶端使用者的證書。這通常只能通過使用智能卡來完成,因此使用者的證書會跟隨它們。
使用 802.1X 進行每使用者身份驗證的另一種更常見的方法是 802.1X PEAP,它使用 NPS 伺服器上的證書,以便客戶端可以驗證伺服器,並使用使用者的 Windows 使用者名和密碼進行客戶端身份驗證。使用者登錄。此外,當沒有使用者登錄時,Windows 域電腦帳戶用於無線身份驗證,因此請務必記住,如果您在 NPS 規則中使用組,請包括一個除所有使用者外還擁有所有電腦的組。
請注意,接入點沒有獲得證書。客戶端稱為“請求者”,伺服器需要對其進行身份驗證。NPS 伺服器是“身份驗證伺服器”,客戶端需要對其進行身份驗證。但是,接入點被稱為“身份驗證器”,是請求者和身份驗證伺服器之間的中間人,因此客戶端不需要對其進行身份驗證。NPS 伺服器通過 RADIUS 共享機密“驗證”接入點。
最後,這不需要是公開信任的 SSL 證書。您可以在域中設置企業 CA,域中的所有電腦都會信任它。
希望這可以幫助!
-埃里克