Ahoj,
potreboval bych poradit, jestli nekdo mate v praxi rozchozenou autentizaci pro Mikrotik wifi AP s WPA2 enterprise proti AD. Predem se omlouvam, ze jsem si teorii kolem toho nestihl poradne prostudovat a hrat si v laboratornich podminkach, takze mozna v necem budu mlit nesmysly... Potrebuju to bohuzel rozchodit co nejrychleji (znate to - pane Prymek, uz pred pul rokem bylo pozde...)
Zatim se mi podarilo rozchodit na Mikrotiku radius passthrough na freeradius, MSCHAP s normalnim heslem uzivatele z AD funguje, heslo se overuje, klient se pripoji. Ale mam s tim mentalni problem, ze pokud jsem to dobre pochopil, v ramci MSCHAP server nikdy nedostane do ruky heslo. Takze zustava jenom moznost autentizace pres utilitku ntlm_auth za pouziti winbindu, coz mi vadi, protoze:
1. pokud se nemylim, ntlm_auth je k dispozici jenom pro sambu 4, takze mi to zavira moznost v pripade potreby downgradovat na sambu 3
2. nemuzu pouzit autentizaci proti ADckovemu LDAPu, coz je skoda
3. celkove mi to prijde jako strasne zabetonovany reseni, se kterym nepujde v pripade potreby hnout (protoze klienti budou uz mit nastavene MSCHAP a zas je vsechny prenastavovat by byl znacnej opruz)
Takze jsem ted trochu tapal po jinem reseni a nic se mi nepodarilo najit, respektive jsem se v te dzungli nejak ztratil
Pozadavky by byly asi takovyhle:
1. autentizace funkcni pro Windows od Vist vys pokud mozno bez nutnosti cokoli doinstalovavat. Pro XP bych klidne i neco doinstaloval, tech je jenom par.
2. autentizace loginem a heslem. NE klientske certifikaty - klientu je moc a pro kazdeho vydavat certifikat by bylo nerealizovatelny. Serverovy certifikat nevadi.
3. autentizace proti freeradiusu (neni to naprosta nutnost, ale byl bych hodne rad, kdybych mohl bohatych moznosti freeradiusu vyuzit)
4. pokud mozno takovy typ autentizace, aby server videl heslo v otevrenem tvaru, aby pak moznosti, co s nim provest, byly trochu vetsi (napr. ta zminena autentizace bindnutim na AD LDAP)
V nejhorsim pripade by samozrejme slo pouzit primo radius co je k dispozici v ramci AD, ale touhle cestou bych sel nerad.
Pokud nekdo mate tohle v praxi odladene a dobre prozkousene, mohli byste pls poradit, jakou cestou se vydat? Idealni by samozrejme bylo, kdyby byl nekdo ochotny se podelit primo o ty patricny pasaze konfiguraku...
Predem diky za jakykoliv rady a nakopnuti, jsem jedno ucho!