Active-Directory

針對不同的二級域進行 PEAP 驗證?

  • September 25, 2012

可能有點混亂,所以讓我解釋一下情況。

我們公司希望實施LAN帶有PEAP身份驗證的企業無線。不幸的是,10 年前有人在我們的 Active Directory 設計中犯了一個大錯誤。

我們使用的域名company.ch, 不屬於我們公司,而是屬於其他人。這使得無法SSL為伺服器頒發公共證書RADIUS,並且我們的 Active Directory 域太大而無法重命名。

我們已經考慮過使用我們的私有PKI證書並推出 CA 生成的證書,GPO但這只會涵蓋我們公司管理的客戶,而不是我們的 BYOD 政策中我們環境中的任何設備(智能手機、平板電腦、筆記型電腦……)

有沒有辦法添加一個二級域名,例如company2.ch,為其頒發公共證書並加入該二級域,以便我們可以為所有客戶端池RADIUS配置該二級域?DHCP

或者是否有另一種方法,例如,RADIUS它自己的域 ( company2.ch) 上的新伺服器與域的某種信任連接company.ch

我不是客戶端伺服器的人,但希望你明白我的意思。

首先,讓我說您(好吧,也許是您的老闆)確實需要停止使用您不擁有的域。你說現在這樣做太大了,但你是短視的。如果它現在“太大”而無法改變,那麼將來會發生什麼,當它更大時?你只是讓問題越來越大,直到(如果公司確實成功並繼續發展)你最終會遇到一個真正“太大”而無法處理的問題,你會花很多錢金錢和時間,並創造大量使用者影響來糾正您現在可能以更少的努力糾正的內容。至少,您應該看看是否可以從其目前所有者那裡購買您的 AD 正在使用的域,這將是糾正此問題的最快方法。

無論如何,話雖如此,並且假設您的老闆不願意真正合理,聰明或比他們的下一次獎金支票更長遠地考慮未來,實際上有一個非常東方的方式來解決這個問題,您在問題中提到了這一點。

你想做的是:

  1. 在您的 Active Directory 林中創建第二個子域
  • 選擇你這次擁有的域名,或者購買你選擇的任何域名,看在上帝的份上。
  1. 在新域和舊域之間創建信任(在 AD 內)。
  2. 在新域中創建適當的使用者組、資源和權限。
  • 在此處設置一個RADIUS/NPS伺服器,它有權對舊域進行身份驗證,或者可能只是您的支持 RADIUS 的設備,並允許它們對舊域進行身份驗證(或者您想要這樣做)。
  1. 管理舊域中的權限,以便新域的使用者具有所需的訪問權限。
  • 例如,確保SSL您為此域購買的任何證書都將被舊域接受,如果那是您要走的路。
  1. (可選,但強烈推薦)使用新的子域從您實際上並不擁有的舊域遷移
  • 一旦建立信任並開始工作,您就可以使用它們將使用者從您不擁有的舊域遷移到您所做的事情上,並最終解決問題。

    • 我實際上正在進行 Windows Active Directory 域遷移,這也是我們處理它的方式。
    • 我們創建了第二個子域,建立了信任,並慢慢開始將使用者、服務、機器(一切)遷移到新域,所以舊的、損壞的域最終將是空的和未使用的,此時我們將處理其中。

引用自:https://serverfault.com/questions/430983