Добрый день! Настройка двухэтапной авторизации для беспроводной сети Wi-Fi с использованием RADIUS и проверки сертификатов на устройствах требует понимания нескольких компонентов. Вот общий план действий:
### 1. Настройка Центра Сертификации (CA)
1. **Создание и настройка CA**:
- Убедитесь, что у вас есть действующий Центр Сертификации (CA). Он должен быть настроен для выпуска сертификатов для компьютеров и пользователей.
- Настройте шаблон сертификата, который будет использоваться на компьютерах для аутентификации на Wi-Fi.
2. **Выдача сертификатов**:
- Продолжите с выдачей сертификатов компьютерам, которые будут подключаться к Wi-Fi.
### 2. Настройка NPS на сервере Windows
1. **Установите RADIUS-сервер**:
- Убедитесь, что роль Network Policy and Access Services (NPS) установлена на сервере Windows.
2. **Добавьте RADIUS-клиенты**:
- В NPS добавьте ваши точки доступа (AP) как RADIUS-клиенты (с указанием их IP-адресов и секретов).
3. **Настройка политик Network Policies**:
- Создайте новую политику в NPS. В разделе "Conditions" (Условия):
- Добавьте условие `NAS Port Type` и выберите `802.1X`.
- Добавьте условие `Windows Groups`, чтобы ограничить доступ только для определенных групп.
4. **Проверка сертификатов**:
- В той же политике добавьте условия для проверки сертификата:
- На вкладке **Constraints** (Ограничения) добавьте `EAP Types` и выберите соответствующий метод EAP (обычно это `Microsoft: Protected EAP (PEAP)` или `EAP-TLS`, если вы хотите использовать сертификаты клиентского устройства).
- Включите `Enable certificate validation` и выберите ваш CA из списка.
5. **Настройка метода аутентификации**:
- В `EAP Type` настройте `PEAP` для запроса учетных данных после проверки сертификата устройства (при этом устройство должно сначала проверить свой сертификат).
### 3. Настройка точек доступа
1. **Настройте точки доступа**:
- Убедитесь, что ваши точки доступа настроены для использования EAP (желательно `PEAP` с `RADIUS`).
- Укажите IP-адрес RADIUS-сервера и соответствующий секрет.
### 4. Настройка клиентских устройств
1. **Настройка профиля Wi-Fi**:
- На клиентских устройствах (например, Windows) создайте Wi-Fi профиль, используя EAP:
- В методах аутентификации выберите `PEAP` и настройте параметры для предоставления учетных данных.
2. **Установка сертификата**:
- Убедитесь, что на клиентском устройстве установлен сертификат, выпущенный вашим CA.
### 5. Тестирование
- После завершения всех настроек протестируйте подключение с одного из клиентских устройств. Убедитесь, что сертификат проверяется сначала, а затем запрашиваются учетные данные.
### Дополнительные рекомендации
- Убедитесь, что все компоненты сети поддерживают выбранный метод аутентификации (например, поддержка EAP).
- Решите любые вопросы безопасности, включая настройку журналов и мониторинг аутентификации.
Если у вас будут конкретные ошибки или проблемы на каком-то из этих этапов, пожалуйста, дайте знать, и я постараюсь помочь более подробно!