Инструкции » CAPsMAN

Wi-Fi EAP Active Directory AD MikroTik

Автор На чтение 2 мин Опубликовано Обновлено

В корпоративной среде более правильным будет индивидуальная авторизация по доменному логину и паролю. Это позволяет обезопасить сеть от уволившихся сотрудников и следить кто подключается. Ведь у каждого свои учетные данные!

Настройка MikroTik

📲 Telegram: @Engineer_MikroTik
📁 Запасной способ связи: MAX

⚡ Оперативно: от обсуждения до реализации — один шаг.
💻 Удалённая настройка: без выезда — через RuDesktop.
💰 Без предоплаты: сначала доведение до 100% результата. Отсрочка оплаты.
🔧 Постгарантийная помощь: сопровождение конфигурации — оперативная помощь и правки.
📚 Экспертиза:
MTCNA, MTCTCE, MTCRE, MTCSWE
MTCWE, MTCEWE, MTCUME
MTCSE, MTCIPv6E
MTCINE
👥 Работаю с физическими и юридическими лицами.
Wi-Fi EAP Active Directory AD MikroTik

Для начала нужен контроллер домена с установленной службой Network Policy Server (NPS). Как его ставить есть много материалов.

Содержание
  1. Настройка на MikroTik:
  2. Настройка nps.msc
  3. Создание сертификата
  4. UPD 04/04/2021

Настройка на MikroTik:

Настройка Radius wireless
Radius -> Add -> Wireless
Добавляем IP адрес сервера NPS и придумываем пароль,
который укажем ниже в настройках
Настройка EAP профиля безопасности
Создаем профиль для авторизации WPA2 EAP

Настройка nps.msc

Настройка Radius клиента
В Radius клиенты добавляем точку, которая будет производить авторизацию
Если точек много — лучше использовать шаблон секрета
Свойства EAP профиля
Укажем понятное имя политики, рекомендую аналогично названию SSID
Условия EAP Wi-Fi
Указываем доменную группу Active Directory через которую нужно авторизовывать пользователей и ПК
Тип сети и идентификатор в формате .*:Название_Сети$
Шифрование EAP Wi-Fi
Указываем метод проверки подлинности
Сертификат для Wi-Fi EAP
И указываем сертификат

Создание сертификата

Бесплатный TLS/SSL Wildcard Let’s Encrypt

Для работы не Windows устройств можно поставить абсолютно любой сертификат, все равно устройства его будут игнорировать. Для доменных Windows Pro устройств достаточно добавить компьютер в группу безопасности WiFi и компьютер сможет подключиться.

Для не доменных Windows устройств и вообще обеспечения безопасности — нужно создать свой сертификат TLS-EAP

/certificate add name=Wi-Fi-EAP_CA common-name=WiFi-EAP locality=Moscow organization=WiFi unit=Wi-Fi subject-alt-name=email:ololo@olololo.ololo key-size=4096 days-valid=999999 key-usage=crl-sign,key-cert-sign

Создание CA на MikroTik
System -> Certificate
Создание CA на MikroTik
System -> Certificate
Сапододписание на MikroTik
И подписываем сертификат самим собой

После этого экспортируем сертификат

Экспорт ключа на MikroTik
Укажите пароль при экспорте, без него не удастся сохранить!

Теперь его можно использовать в Windows Server NPS

Далее устанавливаем данный сертификат во все наши устройства. Именно сертификат crt без закрытого ключа.

Импорт сертификата в Windows
Ставим именно на локальный ПК
Импорт сертификата в доверенные корневые центры
И помещаем в доверенные корневые центры

Теперь Windows устройства смогут подключиться к Wi-Fi EAP сети

UPD 04/04/2021

Настройка назначения vlan:

Настройка Vlan в NPS

Где 255 это номер vlan

Настройка MikroTik

📲 Telegram: @Engineer_MikroTik
📁 Запасной способ связи: MAX

⚡ Оперативно: от обсуждения до реализации — один шаг.
💻 Удалённая настройка: без выезда — через RuDesktop.
💰 Без предоплаты: сначала доведение до 100% результата. Отсрочка оплаты.
🔧 Постгарантийная помощь: сопровождение конфигурации — оперативная помощь и правки.
📚 Экспертиза:
MTCNA, MTCTCE, MTCRE, MTCSWE
MTCWE, MTCEWE, MTCUME
MTCSE, MTCIPv6E
MTCINE
👥 Работаю с физическими и юридическими лицами.
Настройка MikroTik
Поиск
Меню
Этот веб-сайт использует файлы cookie для улучшения пользовательского опыта. Продолжая использовать сайт, вы соглашаетесь на использование файлов cookie.