1943 подписчика

Wi-Fi WAP2 EAP Active Directory AD MikroTik

22 августа 202322 авг 2023

1837

1 мин

В корпоративной среде более правильным будет индивидуальная авторизация по доменному логину и паролю. Это позволяет обезопасить сеть от уволившихся сотрудников и следить кто подключается. Ведь у каждого свои учетные данные! Для начала нужен контроллер домена с установленной службой Network Policy Server (NPS). Как его ставить есть много материалов. Бесплатный TLS/SSL Wildcard Let’s Encrypt Для работы не Windows устройств можно поставить абсолютно любой сертификат, все равно устройства его будут игнорировать. Для доменных Windows Pro устройств достаточно добавить компьютер в группу безопасности WiFi и компьютер сможет подключиться. Для не доменных Windows устройств и вообще обеспечения безопасности — нужно создать свой сертификат TLS-EAP /certificate add name=Wi-Fi-EAP_CA common-name=WiFi-EAP locality=Moscow organization=WiFi unit=Wi-Fi subject-alt-name=email:ololo@olololo.ololo key-size=4096 days-valid=999999 key-usage=crl-sign,key-cert-sign После этого экспортируем сертификат Теперь е

Оглавление

Настройка на MikroTik:
Настройка nps.msc
Создание сертификата

Для начала нужен контроллер домена с установленной службой Network Policy Server (NPS). Как его ставить есть много материалов.

Настройка на MikroTik:

Настройка nps.msc

В Radius клиенты добавляем точку, которая будет производить авторизацию
Если точек много — лучше использовать шаблон секрета — В Radius клиенты добавляем точку, которая будет производить авторизацию Если точек много — лучше использовать шаблон секрета

Укажем понятное имя политики, рекомендую аналогично названию SSID

Указываем доменную группу Active Directory через которую нужно авторизовывать пользователей и ПК
Тип сети и идентификатор в формате .*:Название_Сети$ — Указываем доменную группу Active Directory через которую нужно авторизовывать пользователей и ПК Тип сети и идентификатор в формате .*:Название_Сети$

Создание сертификата

Бесплатный TLS/SSL Wildcard Let’s Encrypt

Для работы не Windows устройств можно поставить абсолютно любой сертификат, все равно устройства его будут игнорировать. Для доменных Windows Pro устройств достаточно добавить компьютер в группу безопасности WiFi и компьютер сможет подключиться.

Для не доменных Windows устройств и вообще обеспечения безопасности — нужно создать свой сертификат TLS-EAP

/certificate add name=Wi-Fi-EAP_CA common-name=WiFi-EAP locality=Moscow organization=WiFi unit=Wi-Fi subject-alt-name=email:ololo@olololo.ololo key-size=4096 days-valid=999999 key-usage=crl-sign,key-cert-sign