Настройка авторизации Wi-Fi MikroTik через Active Directory

В корпоративной среде более правильным будет индивидуальная авторизация по доменному логину и паролю. Это позволяет обезопасить сеть от уволившихся сотрудников и следить кто подключается. Ведь у каждого свои учетные данные!

Профессиональная настройка MikroTik
Без предоплаты

Telegram: @Engineer_MikroTik

Wi-Fi WAP2 EAP Active Directory AD MikroTik

Для начала нужен контроллер домена с установленной службой Network Policy Server (NPS). Как его ставить есть много материалов.

Навигация

Настройка на MikroTik:

Настройка Radius wireless — Radius -> Add -> Wireless
Добавляем IP адрес сервера NPS и придумываем пароль,
который укажем ниже в настройках

Настройка EAP профиля безопасности — Создаем профиль для авторизации WPA2 EAP

Настройка nps.msc

Настройка Radius клиента — В Radius клиенты добавляем точку, которая будет производить авторизацию
Если точек много — лучше использовать шаблон секрета

Свойства EAP профиля — Укажем понятное имя политики, рекомендую аналогично названию SSID

Условия EAP Wi-Fi — Указываем доменную группу Active Directory через которую нужно авторизовывать пользователей и ПК
Тип сети и идентификатор в формате .*:Название_Сети$

Шифрование EAP Wi-Fi — Указываем метод проверки подлинности

Сертификат для Wi-Fi EAP — И указываем сертификат

Создание сертификата

Бесплатный TLS/SSL Wildcard Let’s Encrypt

Для работы не Windows устройств можно поставить абсолютно любой сертификат, все равно устройства его будут игнорировать. Для доменных Windows Pro устройств достаточно добавить компьютер в группу безопасности WiFi и компьютер сможет подключиться.

Для не доменных Windows устройств и вообще обеспечения безопасности — нужно создать свой сертификат TLS-EAP

/certificate add name=Wi-Fi-EAP_CA common-name=WiFi-EAP locality=Moscow organization=WiFi unit=Wi-Fi subject-alt-name=email:ololo@olololo.ololo key-size=4096 days-valid=999999 key-usage=crl-sign,key-cert-sign