802.1X EAP WLAN oproti Windows AD [solved]

[pavian]

Ahoj, poradte mi prosim, kdo mate zkusenosti s konfiguraci WiFi s PEAP oproti Active Directory (Windows 2008 R2)

- RouterOS: Wireless security profile je s WPA2 EAP, EAP method passthrough (bez toho to neprojde ani do radius clienta), Radius - adresa na AD, service wireless, secret nastaven. /// tato cast funguje, ve statusu probihaji pozadavky

- Win2k8R2: AD, NPS - Radius client registrovan, sitova politika vytvorena pomoci pruvodce, autentizace PEAP

Problem z event logu: The client could not be authenticated because the Extensible Authentication Protocol (EAP) Type cannot be processed by the server.

Pri hledani teto hlasky narazim na problemy lidi, kdy nemeli certifikat. Certifikat nemam a ze strany klienta ani nechci resit. Pokud je nutny nejaky alespon SSC na serveru, tak zde jsem se zasekl, protoze v mmc pod certifikaty (local) - Personal davam vytvorit cert a narazim na problem "Certificate types are not available", coz je zrejme zpusobeno nejakou absenci konfigurace CA. Nevim jak dal a premyslim, zda-li je ta cela machinace s certifikatem potrebna, nebo lze obejit.

Predem dekuji za pomoc.

[pavian]

ok, prekonal jsem KOPR a nainstaloval AD Cerificate Services, enrollnul Domain Controller a Domain Controller Authentication certifikaty (nevim ktery z nich to pouziva) a uz to funguje ...

[zip]

Zdravím - máte WiFi ověřovanou jenom o proti loginu nebo pomocí certifikátu ..? Řešení nyní to, že nechci, aby WIFI nabízela přihlášení pomocí loginu, ale pouze pomocí certifikátu..

[rsaf]

V podniku s AD ověřujeme na wifině počítače a ne uživatele. Přijde mi logičtější říct "Frantův notebook může na wifinu" než "Franta může na wifinu (z jakéhokoliv zařízení)". Pak se na Frantově noťasu může přihlásit jiný uživatel (vč. admina...) a pořád má přístup k síti.
Zároveň do počítačů, které mají povolen přístup na wifi automaticky posíláme politikou konfiguraci připojení. Zvláště vhod to přijde u prezentačních a půjčovacích notebooků...

[zip]

Jste ochoten na-sdílet konfiguraci MK ..? Tohle je možné řešit o proti Certifikatu, což je v pohodě, ale snažím se zamezit, že wifi-firma -> nebude vyžadovat login - pokud daný PC nemá cert má prostě smulu.

[zip]

V podniku s AD ověřujeme na wifině počítače a ne uživatele. Přijde mi logičtější říct "Frantův notebook může na wifinu" než "Franta může na wifinu (z jakéhokoliv zařízení)". Pak se na Frantově noťasu může přihlásit jiný uživatel (vč. admina...) a pořád má přístup k síti.
Zároveň do počítačů, které mají povolen přístup na wifi automaticky posíláme politikou konfiguraci připojení. Zvláště vhod to přijde u prezentačních a půjčovacích notebooků...

Jste ochoten sdílet nastaveni ..?