Как защитить WLAN с помощью сертификатов | Windows IT Pro/RE | Издательство «Открытые системы»

Что такое аутентификация и как она происходит?

Под термином «аутентификация» подразумевается сверка подлинности, осуществляемая всегда при подключении устройства к роутеру. Каждый раз, подключая планшет или телефон к маршрутизатору, пользователь наблюдает процесс сверки. Обычно он не занимает много времени. Пароль, вписанный на роутере, сопоставляется с кодом на принимающем устройстве.

Аутентификация не осуществляется, если пользователь перевел на маршрутизаторе сеть в статус незащищенной. То есть сверка паролей – метод защиты Wi-Fi-трафика от посторонних лиц.

Когда аутентификация проведена, доступ к трафику имеет только пользователь, знающий пароль.

Осуществляется процедура следующим образом:

1. Устройство подключается к сети. Вводится код безопасности.
2. Введенные символы шифруются устройством, передаются роутеру.
3. Маршрутизатор расшифровывает полученные символы и определяет, соответствуют ли они действующему паролю.
4. При положительном результате проверки роутер разрешает подключение, при отрицательном – запрещает.

Если пароли не соответствуют, пользователь видит на экране принимающего устройства сообщение о том, что аутентификация прошла неудачно, соединение с интернетом не состоялось.

«быстрая» установка сертификатов.

Сертификаты можно устанавливать как напрямую, щелчком из проводника (windows explorer), так и через отдельную интерфейс-закладку Internet Explorer (еще это можно делать через mmc-консоль).

Рассмотрим первый способ установки, как самый быстрый и простой.

Настройка FreeRADIUS.

Начнем с установки и настройки FreeRADIUS сервера.

В операционной системе Gentoo это делается довольно просто, достаточно ввести команду
=====================================================
root@s2 ~ # emerge -av freeradius

These are the packages that I would merge, in order:

Calculating dependencies …done!

[ebuild N ] net-dialup/freeradius-1.0.5-r1 -edirectory
-frascend -frnothreads -frxp -kerberos -ldap -mysql pam
-postgres -snmp ssl -udpfromto 2,240 kB

Total size of downloads: 2,240 kB

Do you want me to merge these packages? [Yes/No]
=====================================================

Если планируется хранить базу пользователей во внешних базах (например, ldap, mysql или postgre), то перед сборкой RADIUS сервера надо активировать соответствующие флаги, позволяющие собрать FreeRADIUS с поддержкой mysql/postgre и/или ldap:
=====================================================
# USE=”mysql ldap” emerge -av freeradius
=====================================================

После проверки включенности нужных флагов, достаточно нажать клавишу Y и пакет будет собран и установлен в систему:
=====================================================

<….>

— !targe sym /usr/lib/rlm_digest-1.0.5.la
— !targe sym /usr/lib/rlm_detail.so
— !targe sym /usr/lib/rlm_detail-1.0.5.la
— !targe sym /usr/lib/rlm_counter.so
— !targe sym /usr/lib/rlm_counter-1.0.5.la
— !targe sym /usr/lib/rlm_checkval.so
— !targe sym /usr/lib/rlm_checkval-1.0.5.la
— !targe sym /usr/lib/rlm_chap.so
— !targe sym /usr/lib/rlm_chap-1.0.5.la
— !targe sym /usr/lib/rlm_attr_rewrite.so
— !targe sym /usr/lib/rlm_attr_rewrite-1.0.5.la
— !targe sym /usr/lib/rlm_attr_filter.so
— !targe sym /usr/lib/rlm_attr_filter-1.0.5.la
— !targe sym /usr/lib/rlm_always.so
— !targe sym /usr/lib/rlm_always-1.0.5.la
— !targe sym /usr/lib/rlm_acct_unique.so
— !targe sym /usr/lib/rlm_acct_unique-1.0.5.la
— !targe sym /usr/lib/libradius.so
— !targe sym /usr/lib/libradius-1.0.5.la
— !targe sym /usr/lib/libeap.so
— !targe sym /usr/lib/libeap-1.0.5.la
>>> original instance of package unmerged safely.
>>>

Вышеприведенный лог сборки (его конец) показывает, что FreeRADIUS 1.0.5 успешно установлен в систему (о чем сообщает строка ” net-dialup/freeradius-1.0.5-r1 merged”). Можно приступать к его настройке.

1 файл /etc/raddb/clients.conf

Для начала пропишем клиентов (в данном случае — точку доступа) в файле /etc/raddb/clients.conf
#—————————————————-
client 192.168.1.250/32 {
secret = test1234
shortname = test_ap
}
#—————————————————-

Эта запись означает, что клиент с адресом 192.168.1.250 авторизируется на RADIUS-е с паролем test1234. Имя test_ap будет использована при логировании событий, связанных с этой точкой доступа.

Не забываем сменить стандартный пароль для localhost_клиентов:
#—————————————————-
secret = very_strong_secret_password
#—————————————————-

2 файл /etc/raddb/radiusd.conf

Теперь разберемся с основным файлом конфигурации Radius-а /etc/raddb/radiusd.conf

Секция Modules{ }, раздел mschap { }

Включаем

use_mppe = yes # использовать алгоритм mppe

require_encryption = yes # использовать шифрование

require_strong = yes # только сильное шифрование

3 файл /etc/raddb/proxy.conf

Теперь открываем файл /etc/raddb/proxy.conf и добавляем в конец этого файла
#—————————————————-
realm DEFAULT {
type = radius
authhost = LOCAL
accthost = LOCAL
}
#—————————————————-

DEFAULT реалм, добавленный нами, позволяет всем аккаунтам, которые не попали ни в один вышезаданный реалм, проверяться на локальном радиусе. В нашем случае это означает, что все windows-аккаунты с отрезанной доменной частью будут проверяться локально.

4 файл /etc/raddb/eap.conf

Переходим к настройке протокола EAP. Его настройки располагаются в отдельном файле, который, в свою очередь, подключается к основному /etc/raddb/radiusd.conf вот такой конструкцией:
#—————————————————-
$INCLUDE ${confdir}/eap.conf
#—————————————————-

Открываем /etc/raddb/eap.conf

В секции eap{ }
#—————————————————-
default_eap_type = peap # по-умолчанию, используем EAP-PEAP
#—————————————————-

Раскомментируем секцию, относящуюся к peap:
#—————————————————-
peap {
default_eap_type = mschapv2
}
#—————————————————-

Но этого недостаточно для функционирования PEAP, нам также необходимо активировать (раскомментировать) секцию, отвечающую за EAP-TLS:
#—————————————————-
tls {
private_key_password = whatever
private_key_file = ${raddbdir}/certs/cert-srv.pem

certificate_file = ${raddbdir}/certs/cert-srv.

В данном случае использованы цифровые сертификаты, сгенерированные автоматически, при установке пакета freeradius. Можно, конечно, создать собственные сертификаты, подписанные своим (или сторонним) сертификационным центром, но для простоты объяснения, этот этап опущен (он будет подробно расписан в следующей части статьи). Для работы RADIUS-сервера для обеспечения работы EAP-PEAP протокола, вышеприведенных настроек будет достаточно.

6 права доступа к /etc/raddb/

Пара слов о безопасности. При установке пакета freeradius создается пользователь radiusd и группа radiusd, которая является основной для этого пользователя. Права на директорию конфигурационных файлов RADIUS устанавливаются следующие:
=====================================================
# /bin/ls -l /etc | grep raddb
drwxr-x— 3 root radiusd 4096 Oct 12 15:10 raddb
=====================================================

7 запуск radiusd в режиме отладки

На этом настройка FreeRadius сервера завершена. Можно запустить его в режиме отладки командой

# /usr/sbin/radiusd -fX

Настройка точки доступа.

Здесь описывается лишь настройка точки доступа в качестве Radius-клиента. Разумеется, интерфейсы точек доступа разных производителей будут выглядеть по-разному, но общие принципы настроек изменяться не будут.

Надо сделать следующее:

• включить WPA;
• выбрать тип шифрования (AES или TKIP)
• прописать адрес RADIUS-сервера
• прописать пароль доступа (shared secret) к RADIUS-серверу

Вводим SSID беспроводной сети (WPA-PEAP), активируем “Security” и жмем кнопку “Configure Security”.

В появившемся окне выбрать WPA RADIUS в пункте “Security Mode”. Далее алгоритм шифрования — установить AES (или TKIP, если клиентское оборудование AES не поддерживает). Далее вводим адрес машины, где установлен RADIUS сервер и порт, по которому оный принимает запросы (порт 1812 — является стандартным).

Осталось задать “Shared Secret” (пароль на подключение) и все — настройка точки доступа на этом завершена.

1 Установка пользовательских сертификатов через интерфейс управления сертификатами.

Все вышеописанные действия (а также посмотреть, какие сертификаты у нас установлены и, при необходимости, удалить их) можно и следующим образом:

В Internet Explorer жмем на “Сервис -> Свойства обозревателя”

В появившемся окне идем на закладку “Содержание” и жмем кнопку “Сертификаты”.

В появившемся меню нас интересует закладка “Личные”.

2 Установка корневого сертификата через интерфейс управления сертификатами.

Если перейти на закладку “Доверенные корневые центры сертификации” в интерфейсе “сертификаты” Internet Explorer-а, то

… тут мы увидим большое количество установленных в систему корневых сертификатов различных организаций. Тут же находится и установленный нами корневой сертификат нашего собственного центра. Нажав на кнопку “Импорт” можно установить другие корневые сертификаты.

Настройка беспроводного клиента.

WiFi карта подключена к компьютеру под управлением Windows XP PRO SP2. Настройка производится в родной Windows Zero Config утилите.

Жмем на “изменить порядок предпочтения сетей”.

В закладке “беспроводные сети” щелкаем на кнопку “Добавить”.

Попадаем в окно свойств беспроводной сети.

Закладка “связи”. Указываем нужное имя сети (в нашем случае WPA-PEAP) и выбираем тип шифрования данных (AES или TKIP). Разумеется, он должен совпадать с тем, что был указан в точке доступа.

Переходим на закладку “Проверка подлинности”. В типе EAP ставим “Protected EAP (PEAP)”. После чего жмем на кнопку “Свойства”.

В следующем окошке снимаем галку с “проверять сертификат сервера”. Так как сертификаты у нас самосгенеренные при установке FreeRadius, Windows не сможет проверить их валидность (это будет показано чуть ниже).

Далее, выбираем “Метод проверки подлинности”, ставим там “Secured password (EAP-MSCHAP v2). Если тут же нажать кнопку “настроить”, то

Настройка точки доступа.

Настройка точки доступа аналогична процедуре, описанной в предыдущей статье, поэтому подробно описывать этот процесс не будем.

По сравнению с предыдущим разом, изменилось лишь название (SSID) беспроводной сети, теперь она называется WPA-TLS.

Добавление FreeRadius в автостарт

Осталось лишь остановить FreeRADIUS сервер, запущенный в режиме отладки, добавить его в автостарт…
=====================================================
# rc-update add radiusd default
* radiusd added to runlevel default
=====================================================

…для того, чтобы radiusd сервис запускался при старте системы, и запустить его (однократно) в нормальном режиме:
=====================================================
# /etc/init.d/radiusd start
* Starting radiusd … [ ok ]
=====================================================

Все, настройка системы на этом завершена.

Добавление FreeRadius в автостарт.

На этом настройка беспроводных клиентов с аутентификацией по цифровым сертификатам завершена. Осталось добавить запуск RADIUS-сервера в автостарт, если это не было сделано ранее (способ добавления описан во второй части цикла статей) и стартовать его.

Админ тоже виноват, плохой сервис выбрал. надо исправлять ситуацию

К счастью, руководство выручило. В поисках интернет-провайдера в поисковике случайно нашло сервис авторизации у интернет-провайдера КубТел. Судя по их карте, провайдер не крупный, присутствует только в больших городах Краснодарского края. Помимо интернета, много других услуг предоставляют, но нас интересовал только интернет и сервис авторизации.

После переговоров они согласились настроить свой сервис для нашего шлюза Zyxel UAG5100 с последующим тестированием. К нашему удивлению, они блестяще справились с задачей без нытья. CNA наконец-то выскакивал на всех Apple, процесс прохождения авторизации в CNA отрабатывался отлично на всех устройствах (кроме Xiaomi по звонку).

Гости очень довольны, претензии по авторизации прекратились (кроме Xiaomi), но таких гостей просим на смс перейти.

Встречают по одёжке, провожают по уму

Сервис авторизации – самый заметный момент в гостевом Wi-Fi, фактически лицо всего Wi-Fi или заведения, куда гость пришёл. С него начинается первый выход в интернет, если что-то не так пойдёт, в зависимости от ситуации и настроения гостя, претензии польются на царя/админа/заведение или вендора.

Вендор то при чём? Captive Portal отработал, ожидает действий гостя, а он по вине оператора сервиса никак не может попасть на CNA или не те кнопки нажал. До начала конференции остаётся пара минут, гости нервничают, плохо разбираясь в ИТ, сразу винят установленное оборудование и то, на чём крутится сервис, но только не свой телефон и себя. Дома же всё отлично работает на запароленном Wi-Fi.

Гостей можно понять, они с гаджетами на ВЫ, их любые мелочи пугают, нервничают и не могут пройти авторизацию.

Примером была одна и та же картина у устройств Apple. После подключения к Wi-Fi не выскочил CNA, далее гость идёт в браузер, нажимает на любую страницу в «Избранное», получает предупреждение и не редиректит на страницу авторизации.

Следовательно, гости с Apple постоянно были в такой ситуации и VIP-персоны тоже, а жёстко критиковать они умеют…

Поэтому было критично, чтобы CNA корректно на всех устройствах выскакивал, там предупреждений нет.

Вы энтузиаст и любите самостоятельно настраивать?

Давайте рассмотрим на шлюзе Zyxel VPN300 самостоятельную настройку сервиса авторизации оператора КубТел по смс, звонку и паспорту (ваучеру) для иностранцев.

Обратимся к КубТел за получением (или покупкой) сервиса. В принципе, они могут сами всё настроить, но нам тоже можно.

Получим:

Пример настройки сервиса производился на Zyxel VPN300 с версией прошивки V5.02(ABFC.0). Рекомендуется, чтобы шлюз был готов к подключению к интернету.

Как организовать подключение к wifi сети с помощью сертификата?

Настройка ias и точек доступа

После настройки беспроводных клиентов можно перейти к настройке сервера IAS и точек доступа. На сервере IAS необходимо задать политику удаленного доступа, которая свяжет аутентификационные запросы WLAN с требованиями аутентификации 802.1x, основанной на сертификатах.

Нажав правую кнопку на панели с детальной информацией, следует выбрать New Remote Access Policy. Нажмите Next на первой странице мастера New Remote Access Policy Wizard. На следующей странице требуется выбрать Use the wizard to set up a typical policy for a common scenario, ввести имя политики удаленного доступа, например WLAN Access for Domain Computers, и нажать Next.

Настройки беспроводных клиентов

Следующий шаг — настройка сети на всех беспроводных клиентских компьютерах. Здесь мы снова воспользуемся групповыми политиками для автоматизации процесса. Используя тот же GPO, что и раньше, нужно перейти к узлу Computer ConfigurationWindows SettingsSecurity SettingsWireless Network (IEEE 802.1x) Policies.

Нажмите правую кнопку на панели с детальной информацией и выберите Create Wireless Network Policy. Затем следует нажать Next на первой странице мастера Wireless Network Policy Wizard и ввести имя политики, например 802.1x Computer Certificate WLAN Policy. Щелкните Next, выберите Edit policies и нажмите Finish.

В диалоговом окне свойств политики 802.1x Computer Certificate WLAN требуется перейти на закладку Preferred Networks. Здесь нужно ввести Service Set Identifier (SSID) WLAN и настроить параметры аутентификации. Нажмите Add и введите SSID беспроводной сети, например AcmeSecureWLAN.

Теперь следует перейти на закладку IEEE 802.1x. Выберите Smart Card or other certificate с типом EAP расширенного протокола аутентификации и Computer only как тип аутентификации компьютера. Затем необходимо настроить параметры сертификата, нажав Settings.

В диалоговом окне Smart Card or other Certificate Properties выберите Use a certificate on this computer и Use simple certificate selection (Recommended), как показано на экране 1. Эти две настройки заставляют беспроводного клиента выбирать соответствующие сертификаты (один из которых мы только что распространили) из их персонального хранилища сертификатов и использовать эти сертификаты для аутентификации на сервере IAS.

Следует убедиться, что клиенты регистрируются в нужной WLAN, а не в некой сети, выдающей себя за вашу WLAN и развернутой злоумышленниками. Для этого нужно выбрать в соответствующем диалоговом окне параметр Validate server certificate, иначе беспроводной клиент будет доверять любой WLAN, которая имеет такое же название, как и ваша AcmeSecureWLAN.

Затем нужно выбрать в следующем окне CA, который выпустил сертификат для сервера IAS, в данном случае это STO CA. Нажмите OK три раза, чтобы закрыть все диалоговые окна. Теперь, когда компьютер в следующий раз применит этот GPO, он будет иметь конфигурацию беспроводной сети, только что заданную вами.

Перезагрузить и роутер, и устройство приема

Желательно осуществить принудительную перезагрузку: сразу нажать на маршрутизаторе кнопку отключения. На старых моделях кнопка не всегда есть – в этом случае необходимо вытащить шнур из розетки. Затем нужно выждать пару минут и включить устройства: первым – роутер, вторым – телефон.

Повторно ввести пароль

Нередко пользователи выбирают сложные символы и постоянно ошибаются, вписывая код доступа. Поэтому стоит выбрать более простой и запоминающийся пароль.

При повторном вводе желательно щелкнуть по значку «Показать пароль» – так вероятность ошибиться будет меньше. Следует различать строчные и прописные буквы, кириллицу и латиницу. Если, к примеру, вместо русской «с» ввести аналогичную английскую букву, то код не будет принят маршрутизатором. В завершение нажимается кнопка «Сохранить», телефон снова начинает подсоединение к роутеру.

Получение сертификатов

Теперь необходимо получить сертификат для сервера IAS. Откройте оснастку Certificates на сервере IAS. Когда появится приглашение выбрать учетную запись пользователя, службы или компьютера, следует выбрать компьютер. Когда появится приглашение выбрать между удаленным или локальным, нужно выбрать локальный.

Затем в главном окне оснастки Certificates требуется нажать правую кнопку на папке PersonalCertificates и выбрать All Tasks, Request New Certificate (запрос нового сертификата). Нажмите Next па первой странице мастера Certificate Request Wizard. На следующей странице нужно выбрать Computer как тип шаблона сертификации и нажать Next.

Теперь необходимо получить сертификаты для всех клиентских компьютеров беспроводной сети. Наиболее простой путь — создать сертификационный запрос в Group Policy Object (GPO), который будет применяться ко всем компьютерам, которым требуется доступ к WLAN.

Также можно создать новый объект GPO, связанный с соответствующим контейнером организационного подразделения (OU) или отредактировать существующую политику домена по умолчанию, которая связана с корнем домена. В большинстве компьютерных сред не помешает выдать каждому компьютеру домена сертификат, созданный по шаблону Computer.

В Group Policy Object Editor следует перейти к узлу Computer ConfigurationWindows SettingsSecurity SettingsPublic Key PoliciesAutomatic Certificate Request Settings для установки автоматического запроса сертификатов. Далее необходимо нажать правую кнопку на панели с подробной информацией, выбрать New, Automatic Certificate Request (автоматический запрос сертификата) и нажать Next на первой странице мастера.

На следующей странице следует выбрать шаблон Computer, нажать Next, затем Finish. На экране появится запрос на сертификат типа Computer в папке Automatic Certificate Request Settings. В следующий раз каждый из компьютеров применит этот GPO и будет запрашивать сертификат типа Computer с CA, чтобы сохранить его в своем персональном контейнере сертификатов.

Причины возникновения ошибки аутентификации при подключении wi-fi

В подавляющем большинстве случаев проблема обусловлена неправильно вписанным паролем. Пользователь может ошибиться:

• в выборе регистра символа (прописной и строчной формы);
• с используемым при вводе языком.

Если пользователь точно уверен, что вписывает верный пароль, но устройство отказывается подключаться к интернету, то следует искать неполадки в роутере. Ошибка может быть связана с:

• SSID (наименованием) сети;
• MAC-адресом роутера;
• сетевым паролем;
• сбоем или устареванием настроек маршрутизатора.

Проверить mac-фильтрацию

Следует убедиться, что адрес устройства вписан в фильтр правильно. При включенной функции телефон не сможет подключиться к сети, если его MAC-адрес не включен в разрешающий список в администраторском интерфейсе маршрутизатора.

Смотрите видео, в котором рассмотрены все возможные способы решения проблемы, связанной с ошибкой аутентификации при подключении Вай-Фай:

В статье были перечислены все варианты исправления распространенных ошибок аутентификации при подключении Wi-Fi. Каждый случай требует индивидуального подхода. Если ничего из вышеперечисленного не помогло, то искать причину проблемы следует в неисправности роутера.

Проверить ssid сети

Символы должны быть записаны на латинице. Значок «Скрыть SSID» не ставится: принимающее устройство может посчитать это ошибкой.

Сделать точку доступа с авторизацией по сертификатам

Службы сертификатов

Серверу IAS требуется сертификат для представления себя беспроводным клиентам, поэтому необходим сервер сертификатов Certificate Authority (CA) с запущенной либо на Windows 2003, либо на Windows 2000 службой сертификатов. Сервер СА также будет выпускать сертификаты для всех беспроводных клиентов для авторизации их на сервере IAS.

Если домен AD все еще работает на контроллере домена Windows 2000 и в компании пока нет корпоративного сервера СА, то я бы порекомендовал установить службу сертификатов на существующий сервер Windows 2000, как Enterprise Root CA — вместо установки службы сертификатов на сервер IAS Windows 2003.

Устанавливая Certificate Services, мы тем самым создаем инфраструктуру открытых ключей (public key infrastructure, PKI). Для крупной корпоративной инфраструктуры PKI необходимо установить корневой сервер сертификатов, который будет выдавать сертификаты подчиненным СА.

Чтобы избежать компрометации корневого СА, следует держать его отключенным от локальной сети и выдавать сертификаты только с подчиненных СА. Если подчиненный СА будет скомпрометирован, можно будет отозвать его сертификат с корневого СА и опубликовать в сети новый список отозванных сертификатов (certificate revocation list, CRL).

Многоуровневая иерархия СА предохранит инфраструктуру PKI в случае компрометации СА. Однако это может оказаться избыточным для небольших сетей. Для простоты в таких сетях можно ограничиться установкой одного Enterprise Root CA на существующем сервере Windows 2000 и выдавать сертификаты прямо с него.

Откройте приложение Add/Remove Programs, выберите Add/Remove Components. Перед установкой Certificate Services необходимо установить Microsoft IIS, поскольку Certificate Services использует IIS для административных и сертификационных запросов. Установив IIS из Control Panel, следует убедиться, что включена поддержка Active Server Pages (ASP), так как она требуется для работы Certificate Services.

После установки IIS можно установить Certificate Services. Когда появится приглашение выбрать, какой тип СА установить, следует указать Enterprise Root CA. Enterprise в данном случае означает, что Certificate Services будет автоматически интегрирован в AD, что позволит автоматически получать списки пользователей и компьютеров.

Далее от пользователя требуется ввести идентификационную информацию для СА. Я использовал имя STO CA (экран 1). После установки Enterprise Root CA все компьютеры в домене автоматически будут доверять сертификатам, выпущенным СА. Это происходит потому, что, когда компьютеры находят новый корпоративный CA, опубликованный в AD, они автоматически добавляют сертификаты, выпущенные этим СА, в свое хранилище Trusted Root Certification Authorities.

Сменить алгоритм проверки подлинности

Ошибка аутентификации может быть связана с несовместимостью устаревшего устройства с AES-алгоритмом. В этой ситуации выбирается проверка подлинности WPA-Auto-Personal, затем становится возможным выбор TKIP-протокола. Роутеры ASUS более удобны в этом отношении: в них применяются одновременно два протокола, активизация одного из них определяется подключаемым устройством.

Сменить беспроводной режим передачи сигнала на роутере

Если в разделе «Wi-Fi» установлен режим «n», «auto» или «ac», то стоит ввести «802.11 b/g». Такая мера помогает, если сбой аутентификации связан с тем, что старый и недорогой телефон или планшет не принимает современный режим передачи сигнала.

Сменить новый стандарт безопасности wpa-2 на прежний wpa

Случается, что устройства не подключаются к Wi-Fi, так как конфликтуют с действующим вариантом стандарта безопасности. Причем «капризничают» не только старые, но и новые модели телефонов. Обычно проблема обусловлена нарушением прошивки маршрутизатора, поэтому данная мера поможет на короткий срок. Дальше потребуется установление новой прошивки.

Сменить регион в настройках

Можно попробовать поставить, к примеру, вместо США Россию или наоборот.

Также можно поэкспериментировать со сменой каналов.

Способы устранения проблемы

Чтобы выявить причину ошибки аутентификации и устранить ее, необходимо провести проверку и роутера, и принимающего устройства. Обычно пользователям без особого труда удается справиться с проблемой своими силами.

Рекомендуется поэтапно осуществить следующие действия:

Убрать старое подключение, подключиться повторно

Это поможет избавиться от неактуальных файлов, также поврежденных в ходе обновлений и из-за нестабильности работы системы. Для этого нужно:

1. Войти в блок «Настройки».
2. Выбрать раздел «Сеть и интернет» (на некоторых устройствах это название бывает иным).
   
3. Выделить Wi-Fi-сеть, удерживать на ней палец до тех пор, пока не выскочит окошко, в котором выбирается строчка «Удалить сеть». Удаленная сеть возвратится в список всех доступных сетей вай-фай.
   
4. Далее осуществляется стандартная процедура подключения: нужно кликнуть по сети и внимательно вписать пароль (для предупреждения ошибки желательно сделать символы видимыми).

Заключение

На этом завершается вторая часть статьи. Мы научились настраивать беспроводную сеть для работы в режиме чистого WPA с аутентификацией клиентов через EAP-PEAP, с хранением базы аккаунтов во внешней базе (в данном случае — в текстовом файле). Если не хочется связываться с собственным центром сертификации, то информации, приведенной выше, более чем достаточно для построения защищенной беспроводной сети.

Заключение.

На этой статье цикл планировалось завершить, но по мере ее написания становилось ясно, что материал выходит слишком большим, поэтому последнюю часть пришлось оформить отдельной статьей.

В последней части речь пойдет о проблеме “первичности курицы и яйца”- использовании беспроводных клиентов в доменах Windows.

Разберем вкратце эту ситуацию. Клиентский сертификат хранится в профиле пользователя. Профиль может лежать как на сервере (перемещаемые профили), так и на самой рабочей станции (локальные профили).

Для процесса аутентификации (подключения к беспроводной сети), нам необходим клиентский сертификат, лежащий в профиле. Для доступа к профилю, нам как минимум надо аутентифицироваться и на домен-контроллере. То есть, с одной стороны, для подключения к беспроводной сети нам нужно аутентифицироваться на домен-контроллере. А с другой — для аутентификации на домен-контроллере мы уже должны быть подключены к беспроводной сети. Замкнутый круг? 🙂

Второй момент. Выдали сотруднику клиентский сертификат на его ноутбук. Работает он в беспроводной сети, горя не знает. Потом сотрудник уволился. Как запретить ему доступ в сеть компании?

Эти два аспекта и будут рассмотрены в заключительной, пятой части статьи.