Можно ли использовать WPA Enterprise Mode без необходимости использовать или выдавать сертификаты?

То, о чем вы говорите, - это то, что мы делаем на нескольких сайтах клиентов (включая школьный округ, который, кажется, делает именно то, что вы хотите).

Это не руководство по клику для клика, но если вы не возражаете немного поиграть с инструментами, я думаю, вы обнаружите, что они довольно очевидны.

Серверу IAS потребуется сертификат, установленный в качестве предварительного условия для выполнения EAP. Если вы не возражаете против использования самозаверяющего сертификата (что мы делаем везде без каких-либо серьезных проблем), вы можете установить Центр сертификации Microsoft, и машина IAS автоматически запросит сертификат (при условии, что машина, на которой размещен IAS, присоединена к домен в лесу с центром сертификации). Прочитайте о лучших методах, предложенных Microsoft: сертификатный центр - это хорошая идея (особенно части о том, что не может измениться после создания CA), но если все, для чего вы используете CA, это EAP, вы, вероятно, могли бы получить покончить с выводом из эксплуатации и начать все заново, если вам когда-либо понадобится.

После того как вы установили сертификат на машине IAS, вам необходимо настроить сервер RADIUS на прием запросов от точек беспроводного доступа (клиентов RADIUS). Сервер Microsoft RADIUS (по крайней мере, в W2K3) не очень хорош для эффективной обработки сбоев поиска DNS, поэтому, как бы мне не хотелось это говорить, я бы рекомендовал использовать IP-адреса точек доступа при создании записей клиента RADIUS на сервер IAS. "Общий секрет" - это значение, которое клиент RADIUS (AP) использует для аутентификации на сервере RADIUS (IAS). Убедитесь, что вы вводите его одинаково как на точке доступа, так и на сервере IAS.

Вам нужно будет создать политику удаленного доступа на компьютере IAS после того, как вы определили свои точки доступа как клиенты RADIUS. Встроенный мастер поможет вам создать политику для вас. По сути, вам нужна политика, которая соответствует "Беспроводная связь - IEEE 802.11 ИЛИ Беспроводная связь - Другое" и, если необходимо, определенной группе Windows, содержащей пользователей, которым будет предоставлен доступ (например, "Доменные компьютеры" или "Доменные пользователи"). Мастер может помочь вам в этом процессе.

После создания политики вы можете попытаться подключиться с клиента вручную. Я только обсуждаю настройку встроенной службы Windows Wireless Zero Configuration (ха!) Здесь. Если на вашей сетевой карте есть сторонний менеджер конфигурации, и вы можете удалить его, я бы это сделал. Использование встроенной службы Windows значительно увеличивает шансы на то, что сетевой адаптер будет запускаться и аутентифицироваться должным образом (при условии, что вы разрешите доступ "Доменным компьютерам" в своей политике RADIUS). (Я могу вам сказать, что у меня на сайте школьного округа есть большое количество беспроводных клиентов, которые никогда не подключаются к проводному Ethernet, но могут без проблем обрабатывать групповую политику и т. Д.)

Процедура немного различается между Windows XP и Windows Vista / 7, но в основном мы говорим о переходе к списку беспроводных сетей, добавлении SSID новой защищенной сети WPA-RADIUS (удалите старую, если вы -использование существующего SSID) и проверка правильности установки некоторых свойств. "Сетевая аутентификация" должна быть настроена на любую комбинацию WPA/WPA2 и AES/TKIP, которую вы настроили на своей точке доступа. (Лично я бы использовал WPA2-AES, если вы можете, но WPA-TKIP является наименьшим общим знаменателем и поддерживается старшими клиентами.)

В свойствах аутентификации для нового SSID убедитесь, что в качестве типа EAP выбран "Защищенный EAP (PEAP)". Если клиент не является членом вашего домена, перейдите в диалоговое окно "Свойства" для PEAP, снимите флажок "Проверить сертификат сервера", перейдите в диалоговое окно "Настроенный" для "Выбор метода проверки подлинности" и снимите флажок "Автоматически использовать мой". Имя входа и пароль Windows (и домен, если есть) "и снимите флажок" Аутентифицировать как компьютер, когда информация о компьютере доступна "в свойствах" Аутентификация "нового SSID. Это заставит Windows запрашивать учетные данные на компьютере, не являющемся членом домена.

После того, как клиент "говорит", я бы рекомендовал развернуть настройки SSID с помощью групповой политики, чтобы вам не приходилось "трогать" клиентов. Я люблю эту функциональность и использовал ее на многих сайтах с большим успехом. Пока новому клиентскому компьютеру, являющемуся членом домена, разрешено применять групповую политику один раз в проводной сети, он будет "просто работать", как только попадет в зону действия беспроводной сети. Nirvana!

Для устройств, отличных от Windows (iPod, нетбуки с Linux, телефоны Android и т. Д.), Вам придется самостоятельно настроить конфигурацию соединения. Это не так уж плохо. У нас есть множество устройств, которые аутентифицируются в WLAN, настроенных таким образом.

Редактировать:

На компьютерах, не являющихся членами домена, вы можете отменить пометки элементов, которые я описал выше, чтобы клиент не смог проверить сертификат сервера и попытаться выполнить автоматическую аутентификацию. Пользователь должен будет ввести свои учетные данные вручную.

С точки зрения автоматического развертывания профиля конфигурации для клиентов, не являющихся членами домена, вы можете использовать команду "netsh wlan" в Windows Vista и Windows 7.

В Windows XP развертывание конфигурации WLAN без групповой политики действительно похоже на Vista, но требует установки программного обеспечения.