Ssl

Wifi 的 NPS/RAIDUS 身份驗證和非受信任伺服器的證書

  • September 2, 2016

我正在嘗試將 NPS 伺服器設置為我公司雇主 Wifi 網路的 RADIUS 伺服器。所有移動設備都可以使用其域使用者/通行證連接到該網路。我的問題是讓 Windows 電腦(不在域中!)使用這個網路,因為我從 NPS 日誌中得到這個錯誤:

"SERVERNAME",
"IAS",
09/28/2015,
09:00:44,
3,
...
"WIFI_STAFF_Policy",
265

使用日誌規範,我發現這個數據包是**“訪問拒絕”“原因程式碼”是 265**(未在 MS 日誌規範中聲明)。Google搜尋發現“265 Reason code”是證書錯誤,但不明白是客戶端錯誤還是伺服器錯誤。

顯然我不能為所有非域電腦添加證書,而且我不想為我的 NPS 購買證書。

如果這是客戶端錯誤,我知道我可以將 PEAP 身份驗證設置為不驗證證書,但這是一個非常困難的選項,因為我應該手動設置每台電腦。

有什麼方法可以不使用 NPS 網路策略配置中的證書驗證?

策略配置

您的非域客戶端無法連接的原因是您的客戶端不信任 NPS 伺服器上配置的網路策略所使用的證書。

有什麼方法可以不使用 NPS 網路策略配置中的證書驗證?

不,這就是原因。假設您可以配置 NPS 伺服器以更改客戶端的行為,即使您的客戶端不信任伺服器的證書。如果我是攻擊者,我可以使用您不信任的證書設置我的 NPS 伺服器,並將其配置為強制您的客戶端連接到我的伺服器,即使您不信任我的證書。那會很糟糕。

您有兩個選項可以使用客戶端不信任的證書將無線客戶端連接到受 PEAP 保護的無線網路:

  1. 在客戶端上安裝 NPS 伺服器的證書
  2. 編輯客戶端上的無線連接以及特定於客戶端不應驗證伺服器證書的受保護 EAP 屬性: 在此處輸入圖像描述

引用自:https://serverfault.com/questions/725209