niedawno nabyta wiedze o PKI mialem okazje wykorzystac na froncie, podczas walki z konfiguracja WiFi, oparta o autentykacje na certyfikatach via IAS/RADIUS. najpierw pojawil sie problem z certyfikatmi usera – recznie da sie je wygenerowac, ale nie ma opcji autoenrollmentu. RootCA postawiony zostal na wersji standard servera, ktora autoenrollmentu nie obsluguje. informatyk sobie ceryfikat via www certyfikat wygeneruje… ale tlumaczyc end-luserom jak z tego skorzystac, nie wchodzi w rachube. jak w takim razie zarzadac certyfikaty z commandline? znalazlem narzedzie o nazwie certreq.exe. najpierw w jakichs artyqlach, w ktorych bylo napisane, ze to jest standardowe narzedzie w w2k,xp i w2k3… co sie okazalo blefem. jest tylko w2k3. tak czy inaczej to wspaniale narzedzie potrzebuje na wejsciu dostac plik 'req’, kotry „może być żądaniem certyfikatu PKCS #10, żądaniem odnowienia certyfikatu PKCS #7, żądaniem certyfikatu formatu tagu KEYGEN lub żądaniem protokołu zarządzania certyfikatami (CMC) korzystającego ze składni komunikatów kryptograficznych (CMS, Cryptographic Message Syntax) określanego także jako protokół CMC.” co mozna przeczytac [nawet po polsq] na stronach microsoftu. supcio.
no to niech mi ktos, prosze bardzo, pomoze zrobic. posiedzialem nad tym dluzsza chwile i sie poddalem poki co. na wss.pl zadalem kolejne nierozwiazywalne pytanie. chyba zaczne sie chwalic, ze jeszcze nikt nie odpowiedzial na zadne z moich pytan.

kolejnym problemem bylo to, ze drugi IAS nie chcial autentykowac. w logach mozna bylo znalesc dobrze mi znany i opisywany blad eventID 13. szybko wiec zorientowalem sie, ze zeby moc autentykowac innych, sam IAS, kotry stal na DC musi miec certyfikat. problem w tym, ze wtedy blad poprawilem tworzac nowy szablon komputera z autoenrollmentem. teraz tego zrobic sie nie da… bo to standard. z przystawki mmc przy probie reqesta o certyfikat domain controller dostalwalem komunikat, ze albo rootca nie dziala, albo nie mam uprawnien dostepu.

poprzedio popelnilem blad. glupi blad, ktory popelnilem juz drugi raz [i mam nadzieje nie popelnic go wiecej]. wcale nie trzeba certyfiaktu z autoenrollmentem zeby DC dostal swoj certyfikat. prawidlowa odpowiedzia jest prezentowany na eventid scenariusz, gdzie grupe Domain Controllers trzeba dodac do grupy CERTSVC_DCOM_ACCESS. a moj blad wtedy polegal na tym, ze po dodaniu tej grupy nie zrestartowalem kontrolera.
przeciez token bezpieczenstwa tworzony jest raz – w przypadq usera podczas logowania, w przypadq komputera tez [czyli de facto podczas startu i pierwszej autoryzacji w domenie].
tak czy inaczej moja ostatnia walka szybko zaoowocowala. dzieki temu teraz nie stracilem nie-wiadomo-ilu-dni nad glupia zagadka, czemu IAS nie autoryzuje…

ostatnia kwestia jaka pozostaje jest WPA2. micorsoft wypuscil update dla wXP. swietnie. nowy soft do AP ma juz WPA2. super.
no tylko ani na radiusie ani w GPO nie da sie wymusic WPA2, co wiecej, na AP nie opcji autentykacji WPA2 via RADIUS.
tu jest co nieco o WPA2 ale nigdzie nie znalazlem opisu ani jasnej odpowiedzi – czy da sie to skonfigurowac z IASem, czy sie nie da….

-o((:: sprEad the l0ve ::))o-

Comments (3)

  1. peki

    Odpowiedz

    WPA2 da się skonfigurować z IAS, podobnie jak wszystkie inne standardy bezpieczeństwa bezporzowdowego.
    W końcu IAS nie widzi nigdzie ruchu ani WPA, ani WEP ,ani WPA2, tylko dobrze znany EAP.
    Co do konfiguracji IASa do pracy z uwierzytelnianiem użytkowników WiFi, to certyfikat serwera IAS musi być specjalnym certyfikatem wystawionym nie przez rootCa, a przez enterprise rootCa.

  2. n€x¤R

    Odpowiedz

    wiem, ze ent.. jesli jest jedyny to nie bedzie inny niz ent rootca.

    a co do wpa2 to w konfiguracji np. linksysa przy WPA jest opcja WPA-enterprise pozwalajaca wpisac server RADIUS jako autentykujacy. dla WPA2 nie ma takiej mozliwosci.

    zreszta widzialem, ze na uczelni sa dokladnie identyczne linksysy, to poprosze cie zebys mi pokazal po prostu, bo ja nie moglem tego ustawic.

Skomentuj mwd/dombal Anuluj pisanie odpowiedzi

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Time limit is exhausted. Please reload CAPTCHA.