Дано:
1. Домен Windows 2003 Server
2. Windows 2003 Server Certification Authority
3. Windows 2003 Server Internet Authentication Service (IAS)
4. Windows XP SP2
5. DWL-2000AP+
6. DWL-G520+
Необходимо:
Настроить 3, 5, 6 и таким образом, чтобы компьютеры (с ОС 4) используя сертификат, выданный компьютеру (на ЦС 2) используя встроенные возможности 5 (поддержка radius сервера) устанавливали WPA соединение.
Т.е. аутентификация происходит до входа пользователя в сеть на базе сертификата компьютера.
Вопросы:
1. Кто-нибудь смог это сделать?
2. Это вообще реально?
3. Если реально, то кто кто должен выдавать адреса карточкам, т.е. DHCP сервер кто?
4. Checklist для IAS читал, но слишком хлопотно показалось, может есть дока какая попроще?

На IAS не пробовал, но на других RADIUS-серверах работает все просто и непринужденно.

Если интересно, то вот что необходимо сделать в общем случае:
1. RADIUS должен поддерживать EAP (как минимум MD5 или TLS), поддерживает ли его IAS-не знаю
2. На RADIUS-сервер установить корневой сертификат (установить сертификат с Microsoft CA, думаю не составит труда)
3. Настроить авторизацию пользователей/машин (указать кто имеет доступ, а кто не имеет)
4. Установить Identity сертификат на клиента
существую три основных способа:
автоматический, когда все члены AD получают сертификаты, т.е. вошла машину в домен - получи сертификат
Ручной (Manual) - клиент подключается к CA и устанавливает сертификат также как и в пункте 2
Offline (или текстовый) - клиент создает запрос на CA, доставляет его (не важно как, хоть через FloppyNet) до CA, CA создает сертификат, который уже устанавливается на клиента (способ доставки также не важен)
5. Настроить WPA (EAP) на клиенте (выбрать тип аутентификации и trusted CA)
Все! все должно работать!

Адреса выдавать может кто угодно - от администратора, который их пропишет ручками, до DHCP-сервера

Перед тем как будешь что-то настраивать, предлагаю следующий Checklist:
1. ОС должна поддерживать WPA (in real, Windows XP)
2. Драйвера должны поддерживать WPA (убедись что при выборе параметров в драйвере присутствует WPA)
3. Адаптер должен поддерживать WPA (это уже документация адаптера, или местная техподдержка)
4. Точка доступа должна поддерживать WPA (аналогично, документация или техподдержка)
5. Обязательно должен присутствовать RADIUS-сервер, поддерживающий EAP
6. Необходим PKI

Если хоть одного пункта из этих шести нет - WPA работать не будет!

Спасибо за ответ, но:

Это всё выполнено, см. условие дано...
Самое главное в этом деле это IAS ;-( ставить, что то стороннее особого желания нет, но если кто может посоветовать хороший RADIUS сервер с поддержкой Active Dirrectory и PKI от Microsoft то советуйте

У D-Link-а есть (а может уже и нет) относительно недорогой радиус.
Поддерживает он или нет AD - вопрос к техподдержке, которая не на этот вопрос еще не ответила

ActiveDirectory
Как давно я от этой дури для пользователей и Adminidtrator избавился как из "унитаза дыхнула".
Тебе за это Microsoft конфигурирование деньги платят или "для общего развития" раазвлекаешся Сочусвствую
Надеюсь не в банке обязан Oper001 и Econ001 и Buh001 разводить на Microsoft Active Directory ?

Ты это о чем?

А по существу вопроса есть, что сказать?
Разводить флэйм по поводу, что круче мы не будем, когда из реальных альтернатив только eDirectory в наличии. ОК?

У меня бы фантазии не хватило Active Directory использовать для хранения такого маразма. Но с другой стороны интересно узнать, что же такое я должен использовать для администрирования 500 хостов территориально разнесённых от Москвы до Иркутска?

Novell
и NDS...но эта другая тема
сочувствую

Для тех кто всё же хочет грамотно настроить:
Securing Wireless LANs with PEAP and Passwords:
http://www.microsoft.com/downloads/deta ... laylang=en
Securing Wireless LANs with Certificate Services:
http://www.microsoft.com/downloads/deta ... laylang=en

Его скорее уже нет, чем есть.

Спасибо за оптимистичное окончание.

Да не совсем оно оптимистическое ;-(
Чтобы настоить PEAP+MSCHAP v2 можно даже всё это не читать...
Но прочтение этих толстенных мануалов не помогло настроить, ни EAP-TLS, ни туннелированный EAP-TLS в PEAP ;-(
Со стороны это выглядит так: карточка видит AP, в логах AP регистрируется подключение, ОС клиента предлагает выбрать сертификат, запрашивает пароль на смарт-карту, далее трафик доходит до 350 байт и всё соединение разрывается до следующей попытки, подтверждения в EAP аутентификации в логах AP нет как и отказа, в логах IAS пусто.
Если настроить туннелированный EAP-TLS в PEAP, то всё также, только трафик побольше около 2 КБ.
Каких либо диагностических сообщений получить от IAS не удалось... Все операционные системы пропатченны по самое не хочу... даже WPA2 патчик на клиенте стоит ;-(
С сертификатами всё нормально, указаны необходимые области действия, логин по смарт-карте в домен работает, CRL доступны, в общем PKI настроена нормально.

В связи с этим резонный вопрос:
1. Поддерживает ли DWL-2000AP+ аутентификацию ч/з EAP-TLS (ревизия А, майская прошивка 1.15)?
2. Поддерживает ли DWL-G520+ аутентификацию ч/з EAP-TLS (установлены чистые драйверы 7.0.0.29 без Odyssey Network Services и с ними пробовал, тоже не работает)?
Доп. вопросы...
3. Поясните, что такое суппликант, каковы его функции?
4. Какие функции предоставляет Odyssey Network Services?


P.S. Со своей стороны попробую ещё на интеловских карточках, в ноут встроенных настроить, вдруг получится

Ура!
Теперь заработало всё, сначала на интеловских карточках (попробовал от безисходности), а затем после ручного удаления старых драйверов и опять же ручной установки новых и D-link'и
Причем на интеловских карточках заработало на какой-то достаточно старой версии драйверов, на новых D-link'овские WPA соединения в упор не видят ;-(

P.S. Когда же, наконец, в D-link начнут нормальные инсталляторы писать?

Таки поздравляю!

Опишите мне (лучше почтой) что там с инсталляторами у нас не так.
Особенно смущает фраза

Имелось в виду, что на последних доступных intel'овских драйверах для intel'овских карточек же (которые я использовал чтобы выявить кто виноват) точки DWL-2000AP+ даже не опознаются этими карточками в том случае, когда всё настроено для WPA.
К D-link это видимо мало отношения имеет, т.к. DWL-2000AP+ и DWL-G520+ совместно работают замечательно в режиме WPA (и PEAP и EAP-TLS).
P.S. По инсталлятору отпишу.