Kategorier
Okategoriserade

Skapa ett BYOD-Wifi-nät

En kund till mig hade två separata WiFi-nät: CorpNet och GuestNet. Det förstnämnda användes för domänanslutna Windowsdatorer och det andra nätet användes till all övrig trafik.

På senare tid har det uppstått ett önskemål att använda telefoner, plattor och icke-domänanslutna datorer (t ex konsult-datorer) i nätverket. Dessa har normalt använt GuestNet, men från det går det inte att nå företagets interna resurser.

Mitt mål var att skapa ett BYOD-nät (Bring you own device) mot vilket man autentiserar sig med sina normala användaruppgifter och därmed kan nå företagets interna resurser. Detta visade sig inte vara riktigt så enkelt som jag hade tänkt.

Företaget använder Ubiquiti Unifi accesspunkter och som Radius-server används NPS i Windows 2008 R2.

Jag skapade en Network Policy i min NPS-server för en grupp användare (WiFi BYOD Users) som jag konfigurerade att använda PEAP för autentisering.

image

iPhone bara funkar

Detta räckte iPhone –klienterna, första gången en telefon ansluter mot nätverket får man godkänna Radius-serverns certifikat och därefter fungerade det utan problem att nå intranätet på adressen http://intranet/.

image     image

Andrioid funkar sådär

Andriod-telefoner ansluter utan problem mot nätverket, även om inloggningen är lite mer oanvändarvänlig. Du behöver inte end godkänna serverns certifikat vilket är lite märkligt.

Däremot klarar inte Android-telefonen att ansluta mot http://intranet/. Det visade sig att Android inte använder DNS-suffix från DHCP-server, det går utmärkt att nå servern på FQDN (http://intranet.konor.foretaget.se) men intranätsajten är inte konfigurerad att svara på det namnet.

Screenshot_2013-09-28-10-58-05 Screenshot_2013-09-28-08-42-48Screenshot_2013-09-28-11-06-47

Windows-datorer kan inte ansluta

På Windows-datorn får jag ange mitt användarnamn och lösenord, men möts bara av att det inte går att ansluta till nätverket.

Skärmklipp3Skärmklipp2

Efter lite felsökning visade det sig att problemet ligger i server-certifikatet på Radius-servern. Detta var inställt på att använda ett certifikat från vår Interna CA, men datorn som inte var med i domänen litade inte på det certifikatet.

Lösningen är att införskaffa ett publikt certifikat och lägga in detta på policyn i NPS. Det spelar ingen roll vilket hostnamn som står i certifikatet.

image

När ett publikt certifikat är på plats får du en dialogruta där du godkänner radius-server som motsvarar den i iPhone. Efter att ha godkänt detta så kan du ansluta utan problem mot intranätet.

image

Vad som inte funkar när det gäller Windows-klienter

Det som jag framförallt vill dela med mig av är vad som INTE fungerar när du vill ansluta en Windows-dator till ett WiFi-nät som använder WPA2-Enterprise. Målet var att skapa en nät där en icke-hanterad Windows-dator kan ansluta med minimal konfiguration (next-next-finish).

  • Försök inte laborera med andra autentiserings-mekanismer än PEAP. Är det användarnamn/lösenord du vill använda (dvs något annat än WPA2-Personal) så är det PEAP som gäller. Allt annat kommer kräva manuell konfigurering av det trådlösa nätverket i Windows-datorn.
  • Använd ett publikt (3-parts) certifikat i din Network policy (Radius-servern). Det fungerar inte med self-signed-certifikat eller certifikat från en intern CA. Båda kräver att du antingen installerar CA-certifikatet i Windows-datorn eller konfigurerar datorn att inte bekräfta servercertifikatet.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *