Настройка 802.1x для сети Office
Я работаю в небольшой компании, ориентированной на развитие, и у меня есть несколько более известных клиентов. У одного из этих клиентов были новые условия для подрядчиков, которые фактически вынудили нас внедрить 802.1x в нашем офисе.
В настоящее время мы используем Windows Server в качестве наших DC и AD. В нашем офисе есть 3 переключателя, соответствующих этому изменению. Один находится в нашей серверной и подключен к другому коммутатору в офисном помещении. Этот коммутатор подключается к большинству клиентов, но в одном месте в офисе недостаточно провода в стене; поэтому для отсутствующих клиентов существует переключатель меньшего размера. Все они представляют собой интеллектуальные коммутаторы с поддержкой 802.1x и RADIUS.
Я установил службу сетевой политики на нашем DC и добавил клиентов RADIUS для упомянутых коммутаторов. Я настроил NPS и RADIUS в соответствии с документацией Microsoft с помощью их мастера. (RADIUS-сервер для беспроводных или проводных соединений 802.1x, выбор «безопасного проводного соединения», Microsoft: смарт-карта или другие сертификаты, добавление наших сотрудников и групп устройств). Я также включил 802.1x на всех трех упомянутых коммутаторах, настроил RADIUS на использование IP-адреса и порта по умолчанию наших контроллеров домена, установив их особый секрет.
Это работает до тех пор, пока я не переключу порт с «Авторизованный» на «Авто», который должен начать использовать настроенный сервер RADIUS для проверки. После этого у меня всегда теряется соединение, независимо от того, какой переключатель я тестирую. Кроме того, в журнале событий Windows на контроллере домена нет записей.
Цель состоит в том, чтобы позволить только клиентам, зарегистрированным в нашем AD, подключаться к нашей сети LAN. В идеале это должно осуществляться на основе сертификатов и автоматически.
У меня закончились идеи для тестирования; поэтому я хотел бы спросить, чего мне не хватает.
Я чувствую, что мне следует установить некоторые сертификаты на своих клиентах, но теоретически это может быть сделано самим Windows Server. Мне также нужно научиться правильно отлаживать RADIUS. Я использовал radlogin4, но он сообщает о тайм-аутах соединения только при отправке тестовой аутентификации.