Проверка PEAP для другого вторичного домена?

Вероятно, немного сбивает с толку, поэтому позвольте мне объяснить ситуацию.

Наша компания хочет внедрить корпоративный беспроводной LAN с PEAP аутентификация. К сожалению, кто-то допустил большую ошибку в нашем дизайне Active Directory 10 лет назад.

Доменное имя, которое мы используем, company.ch, принадлежит не нашей компании, а кому-то другому. Это делает невозможным выпуск публичного SSL сертификат на RADIUS сервер, и наш домен Active Directory слишком велик, чтобы переименовать.

Мы уже думали об использовании нашего частного PKI и развернуть сертификат, сгенерированный CA через GPO но это касается только наших корпоративных клиентов, а не каких-либо устройств в нашей среде из нашей политики BYOD (смартфоны, планшеты, ноутбуки...)

Есть ли способ добавить вторичное доменное имя, например company2.ch, выдать публичный сертификат против него и присоединиться RADIUS в этот вторичный домен, так что мы можем настроить этот вторичный домен через DHCP для всех клиентских пулов?

Или есть другой способ, например, с новым RADIUS сервер в своем домене (company2.ch) что связано с каким-то доверием к company.ch домен?

Я не клиент-серверный парень, но, надеюсь, вы меня поняли.

Источник

1 ответ

Решение

Прежде всего, позвольте мне сказать, что вам (ну, возможно, вашим боссам) действительно нужно отказаться от использования домена, которым вы не владеете. Вы говорите, что это слишком велико, чтобы делать это сейчас, но вы близоруки. Если он "слишком большой", чтобы измениться сейчас, что произойдет в будущем, когда он станет еще больше? Вы просто позволяете проблеме расти и расти, пока (если компания действительно преуспеет и продолжит расти) вы не столкнетесь с проблемой, которая действительно будет "слишком большой" для решения, и вы потратите фантастические суммы денег и времени и создайте большое влияние на пользователя, чтобы исправить то, что вы, вероятно, могли бы исправить сейчас, затратив гораздо меньше усилий. По крайней мере, вы должны посмотреть, сможете ли вы купить домен, который ваша AD использует у своего текущего владельца, что будет самым быстрым способом исправить это.

В любом случае, сказав и предположив, что ваши боссы не хотят быть на самом деле разумными, умными или думать о будущем дальше, чем их следующая проверка бонусов, на самом деле есть довольно восточный путь, который вы упомянули в своем вопросе.

Что бы вы хотели сделать, это:

  1. Создайте второй дочерний домен в лесу Active Directory.
    • Выберите домен, которым вы владеете на этот раз, или купите домен, который вы выберете, ради любви Бога.
  2. Создайте доверие между новым доменом и старым (в AD).
  3. Создайте соответствующие группы пользователей, ресурсы и разрешения в новом домене.
    • Настройте RADIUS/NPS здесь сервер, у которого есть разрешения для аутентификации на старом домене или, возможно, только на ваших RADIUS-совместимых устройствах, и позволяет им аутентифицироваться на старом домене (или как вы хотите это сделать).
  4. Управляйте разрешениями в старом домене, чтобы у пользователей нового домена был доступ.
    • Например, убедитесь, что любой SSL Сертификат, который вы приобрели для этого домена, будет принят старым доменом, если вы идете по этому маршруту.
  5. (ДОПОЛНИТЕЛЬНО, но НАСТОЯТЕЛЬНО РЕКОМЕНДУЕТСЯ) Используйте новый дочерний домен, чтобы перейти от старого, который у вас фактически нет
    • Как только трасты установлены и работают, вы можете использовать их для миграции пользователей со старого домена, которым вы не владеете, на что-то, что вы делаете, и, в конечном итоге, для устранения проблемы.
      • На самом деле я нахожусь в процессе миграции домена Windows Active Directory, и это то, как мы справляемся с этим.
      • Мы создали второй дочерний домен, установили доверительные отношения и начали медленно переносить пользователей, службы, машины (все) в новый домен, поэтому старый сломанный домен в конечном итоге будет пустым и неиспользуемым, и в этот момент мы избавимся от него. этого
Источник
Другие вопросы по тегам