iT邦幫忙

0

RADIUS憑證問題請教

各位前輩們好

目前公司內部有打算使用WINDOWS的網路原則服務(NPS)
來做RADIUS與無線AP做整合

小弟查看了一下網路上文章

好像都會需要用到憑證

請問是否有方式可以不用憑證達到目的嗎

還是一定需要架設一個CA伺服器來發憑證呢

看更多先前的討論...收起先前的討論...
mytiny iT邦大師 1 級 ‧ 2019-11-26 18:52:45 檢舉
憑證是憑證,Radius是Radius
有radius就好
何必問 iT邦好手 1 級 ‧ 2019-11-27 06:23:01 檢舉
802.1x 用自簽憑證selfsign ca也可以
免ca中心 搭配nps gpo佈署ca到client
ray11429 iT邦新手 4 級 ‧ 2019-11-27 09:08:53 檢舉
謝謝兩位的回覆 目前是要使用WINDOWS的網路原則服務(NPS)來當RADIUS伺服器
這樣是否能用您所說的selfsign ca呢?
不用把憑證想得太複雜,它其實就是一個檔案而已,這個檔案在Windows Server可以產生或者透過openssl也可以產生。然後自簽憑證的意思就是,沒有人幫我背書說這個憑證是合法的。
一般憑證發行都會需要給其他公認的第三方背書才算是正當的憑證。

1 個回答

0
c123456789q
iT邦新手 5 級 ‧ 2019-12-06 20:03:14

你想達成的目標是甚麼?
根據我知道的Radius Server用途其實就有點像是驗證使用者能不能存取驗證方式的一種
舉個例子來說

現在有一個設備A,設備A已經被設定成登入設備A採取的驗證方式是Radius,那麼就必須在設備A設面指定Radius的Server IP位置和UDP port,以及用加密的key。

當使用者現在透過console/telnet/ssh 想要登入設備A的話,在輸入完帳號密碼後,設備A會把這些資訊送到前面設定的Radius Server讓Server決定這個使用者是不是合法的,如果是不合法的就是登入失敗,如果合法就會登入成功,可以操作設備去做設定。

補上zyxel某個產品的設定頁面,方便理解
https://kb.zyxel.com/KB/searchArticle!gwsViewDetail.action?articleOid=009451&lang=EN

ray11429 iT邦新手 4 級 ‧ 2019-12-09 09:27:49 檢舉

您好
目前是打算建一個RADIUS伺服器讓連線aruba的無線WIFI的人員做驗證的動作
但因為不知道驗證方式是不是都需要有憑證
所以想來請教是否一定需要架CA伺服器

kylen iT邦新手 4 級 ‧ 2019-12-09 16:24:05 檢舉

這問題,我也很想知道,如果要憑證感覺很麻煩

我認為只是使用者的驗證,是應該不用憑證的;我這邊說的憑證,是類似你瀏覽器可以看到的這種東西(https://imgur.com/361Rkb3
) or(https://imgur.com/8LKzksE)
這種東西是使用者如何可以相信這個網站是合法的,不是別人假冒的用途;

你再搭配Radius Server時,驗證方式選擇EAP or MSCHAP這些不用憑證的方式就可以了
可以參考https://jbite9057.blogspot.com/2016/05/aruba-iap-radius-server-8021x.html
或者詢問aruba的人員

我要發表回答

立即登入回答