Dobrý den všem,
po spoustách hodin trápení a googlení už musím požádat o radu vás. Snažím se rozběhnout pod Debianem Freeradius. To samo o sobě není problém. Problém je to, že bych byl rád, kdyby fungoval jako proxy pro různé domény a to tak, aby se vždy identifikoval jedním certifikátem.
Myšlenka je jednoduchá. Mám více lokalit. V každé lokalitě je sólo Windows AD doména. Není možné ani žádoucí jednotlivé lokality propojit. Potřebuji pro ně ale jednotný RADIUS server, aby se klienti mohli hlásit v kterékoliv lokalitě. V podstatě takový privátní "Eduroam". I toto není problém a funguje mi to.
Rád bych to měl ale tak, že FreeRadius bude jediný, kdo se prokazuje klientovi svým certifikátem. V současné době se klientům vždy prokazuje lokální RADIUS z jednotlivých lokalit a ten běží na lokálních NPS se selfsigned certifikátem. Ve Win 7 tak není možné se jednoduše k síti připojit, aniž by se manuálně konfigurovala nebo se importoval certifikát lokální CA.
Proto se chci zeptat, dá se nějak udělat, aby FreeRadius pracoval defacto v režimu MITM a byl tím, kdo jediný komunikuje s klientem a jediným, kdo komunikuje s lokálním NPS RADIUS serverem a aby zabránil přímé komunikaci klienta s lokálním NPS?
Díky mockrát za jakoukoliv radu.
Samozřejmě, rád bych kombinaci PEAP+MSCHAPv2.
Ještě jednou díky.
0 Odpovědí
2407 Zhlédnutí