Найти в Дзене
Настройка MikroTik
1527 подписчиков

Wi-Fi WAP2 EAP Active Directory AD MikroTik

615
1 мин
Оглавление

В корпоративной среде более правильным будет индивидуальная авторизация по доменному логину и паролю. Это позволяет обезопасить сеть от уволившихся сотрудников и следить кто подключается. Ведь у каждого свои учетные данные!

Для начала нужен контроллер домена с установленной службой Network Policy Server (NPS). Как его ставить есть много материалов.

Настройка на MikroTik:

Radius -> Add -> Wireless Добавляем IP адрес сервера NPS и придумываем пароль, который укажем ниже в настройках
Radius -> Add -> Wireless Добавляем IP адрес сервера NPS и придумываем пароль, который укажем ниже в настройках
Создаем профиль для авторизации WPA2 EAP
Создаем профиль для авторизации WPA2 EAP

Настройка nps.msc

В Radius клиенты добавляем точку, которая будет производить авторизацию Если точек много — лучше использовать шаблон секрета
В Radius клиенты добавляем точку, которая будет производить авторизацию Если точек много — лучше использовать шаблон секрета
Укажем понятное имя политики, рекомендую аналогично названию SSID
Укажем понятное имя политики, рекомендую аналогично названию SSID
Указываем доменную группу Active Directory через которую нужно авторизовывать пользователей и ПК Тип сети и идентификатор в формате .*:Название_Сети$
Указываем доменную группу Active Directory через которую нужно авторизовывать пользователей и ПК Тип сети и идентификатор в формате .*:Название_Сети$
Указываем метод проверки подлинности
Указываем метод проверки подлинности
И указываем сертификат
И указываем сертификат

Создание сертификата

Бесплатный TLS/SSL Wildcard Let’s Encrypt

Для работы не Windows устройств можно поставить абсолютно любой сертификат, все равно устройства его будут игнорировать. Для доменных Windows Pro устройств достаточно добавить компьютер в группу безопасности WiFi и компьютер сможет подключиться.

Для не доменных Windows устройств и вообще обеспечения безопасности — нужно создать свой сертификат TLS-EAP

/certificate add name=Wi-Fi-EAP_CA common-name=WiFi-EAP locality=Moscow organization=WiFi unit=Wi-Fi subject-alt-name=email:ololo@olololo.ololo key-size=4096 days-valid=999999 key-usage=crl-sign,key-cert-sign

System -> Certificate
System -> Certificate
System -> Certificate
System -> Certificate
И подписываем сертификат самим собой
И подписываем сертификат самим собой

После этого экспортируем сертификат

Укажите пароль при экспорте, без него не удастся сохранить!
Укажите пароль при экспорте, без него не удастся сохранить!

Теперь его можно использовать в Windows Server NPS

Далее устанавливаем данный сертификат во все наши устройства. Именно сертификат crt без закрытого ключа.

Ставим именно на локальный ПК
Ставим именно на локальный ПК
И помещаем в доверенные корневые центры
И помещаем в доверенные корневые центры

Теперь Windows устройства смогут подключиться к Wi-Fi EAP сети

UPD 04/04/2021

Настройка назначения vlan:

-14

Где 255 это номер vlan

Настройка-Микротик.РФ

Больше статей по настройке MikroTik на моем сайте https://настройка-микротик.рф

СЕТЕВЫЕ УСЛУГИ

  • Настройка
  • Мониторинг
  • Консультация
  • Подбор оборудования
  • Все услуги без предоплаты
  • Работаю с юридическими и физическими лицами

2
Взгляните на эти темы
Гаджеты и электроника
IT (информационные технологии)
Найти тему
Умные колонки
Колонки и аудиосистемы
Графические планшеты
VR-очки
Смартфоны
Планшеты
Ноутбуки
Игровые консоли
Умные часы
Фитнес-трекеры
Камеры и фототехника
Наушники
Электронные книги
Социальные сети и мессенджеры
Языки программирования
Веб-разработка
Мобильная разработка
Разработка игр
Гаджеты и электроника
5,73 млн интересуются