Momenteel ben ik bezig met een implementatie van WPA2-Enterprise via Windows Server 2008 R2.
De configuratie/installatie zelf is prima verlopen.
Volgende rollen zijn geïnstalleerd :
Active Directory Certificate Services (PKI)
Network Policy Server (NPS)
Active Directory met GPO
Alsook heb ik Access Points die 802.1X-capable zijn.
De Radius Server geeft een certificaat door aan de client om zeker te zijn dat er met de juiste server connectie gemaakt wordt.Wanneer in Windows het correcte certificaat niet geïnstalleerd is kan er ook geen verbinding gemaakt worden met het Enterprise Network. Hierbij kan ik het domain certificaat meegeven via het domein of zelf installeren wanneer het niet over een domein laptop gaat.
Android smartphones trekken hun daar niet teveel van aan. Men kan het certificaat negeren en alsnog verbinding maken met het netwerk.
In Active Directory heb ik een groep aangemaakt Wireless Users, hierin zitten alle gebruikers die via hun AD credentials mogen aanmelden aan het netwerk.
Er is nog een 2de groep Wireless Laptops, hierin zitten alle laptops van gebruikers die geen gsm hebben
Mijn opzet is als volgt:
Er zijn 2 draadloze netwerken
Bedrijfsnetwerk
Gastnetwerk (enkel internet)
Wij hebben een 50tal domein laptops en een 5 non domeins, die verbinding mogen maken met het bedrijfsnetwerk (werkt perfect).
Alsook hebben we een 20tal Android telefoons (min versie 4.1.2) die in het beheer zijn van het bedrijf, alsook mogen deze verbinding maken met het bedrijfsnetwerk.
wanneer gebruikers volgende apparaten hebben kunnen ze inloggen op volgende manier :
Laptop + GSM ==> aanmelden via AD credentials
GSM ==> via AD credentials
Laptops ==> er wordt aangemeld via de laptop account (hier is geen gebruikersnaam of paswoord nodig)
Hoe kan ik voorkomen wanneer een gebruiker een laptop en een gsm bezit van het werk, deze niet kan inloggen via zijn privé telefoon met de AD credentials? Of wanneer iemand een GSM bezit van het werk deze niet kan inloggen met zijn privé laptop.
Hoe kan ik een certificaat dwingend maken, of is er een andere oplossing?
Alvast bedankt
De configuratie/installatie zelf is prima verlopen.
Volgende rollen zijn geïnstalleerd :
Active Directory Certificate Services (PKI)
Network Policy Server (NPS)
Active Directory met GPO
Alsook heb ik Access Points die 802.1X-capable zijn.
De Radius Server geeft een certificaat door aan de client om zeker te zijn dat er met de juiste server connectie gemaakt wordt.Wanneer in Windows het correcte certificaat niet geïnstalleerd is kan er ook geen verbinding gemaakt worden met het Enterprise Network. Hierbij kan ik het domain certificaat meegeven via het domein of zelf installeren wanneer het niet over een domein laptop gaat.
Android smartphones trekken hun daar niet teveel van aan. Men kan het certificaat negeren en alsnog verbinding maken met het netwerk.
In Active Directory heb ik een groep aangemaakt Wireless Users, hierin zitten alle gebruikers die via hun AD credentials mogen aanmelden aan het netwerk.
Er is nog een 2de groep Wireless Laptops, hierin zitten alle laptops van gebruikers die geen gsm hebben
Mijn opzet is als volgt:
Er zijn 2 draadloze netwerken
Bedrijfsnetwerk
Gastnetwerk (enkel internet)
Wij hebben een 50tal domein laptops en een 5 non domeins, die verbinding mogen maken met het bedrijfsnetwerk (werkt perfect).
Alsook hebben we een 20tal Android telefoons (min versie 4.1.2) die in het beheer zijn van het bedrijf, alsook mogen deze verbinding maken met het bedrijfsnetwerk.
wanneer gebruikers volgende apparaten hebben kunnen ze inloggen op volgende manier :
Laptop + GSM ==> aanmelden via AD credentials
GSM ==> via AD credentials
Laptops ==> er wordt aangemeld via de laptop account (hier is geen gebruikersnaam of paswoord nodig)
Hoe kan ik voorkomen wanneer een gebruiker een laptop en een gsm bezit van het werk, deze niet kan inloggen via zijn privé telefoon met de AD credentials? Of wanneer iemand een GSM bezit van het werk deze niet kan inloggen met zijn privé laptop.
Hoe kan ik een certificaat dwingend maken, of is er een andere oplossing?
Alvast bedankt