Вопрос или проблема
Я настраиваю отдельный сервер Windows Server 2022 с следующими ролями:
Active Directory
Центр сертификации
Сервер политик сети (NPS)
Я использую этот сервер как сервер RADIUS для аутентификации сети Wi-Fi с помощью точки доступа Aruba (управляемой из облака). Вот что я сделал до сих пор:
Шаги, которые я предпринял:
- Базовая аутентификация RADIUS с локальным пользователем:
Я создал локальную учетную запись пользователя (ABC) на сервере.
Настроил точку доступа Aruba для использования сервера в качестве сервера RADIUS.
Успешно подключил клиент Windows 11, не входящий в домен, к Wi-Fi, используя учетные данные локального пользователя.
- Переход на сертификатную аутентификацию:
Создал учетную запись компьютера с именем computer01 в Active Directory.
Выдал сертификат аутентификации клиента для computer01 и установил его на клиенте.
Установил сертификат центра сертификации на клиенте.
Переименовал клиентский компьютер в computer01 и настроил профиль Wi-Fi для использования аутентификации компьютера.
- Возникшие проблемы:
В журналах NPS соединение было отклонено, потому что учетная запись не была найдена. В журнале имя пользователя отображалось как host/computer01.
Для устранения неполадок я изменил сервер NPS на:
Удалить префикс host/.
Добавить @mydomain.local к имени пользователя.
Удалил учетную запись компьютера computer01 и создал учетную запись пользователя с тем же именем (computer01).
Выдал новый сертификат аутентификации клиента для учетной записи пользователя и установил его на клиенте.
- Результаты:
Учетная запись пользователя (computer01) была сопоставлена, но аутентификация все равно не удалась с ошибкой, связанной с сертификатом.
Мои вопросы:
-
Почему учетная запись компьютера (host/computer01) не совпадает во время аутентификации, а учетная запись пользователя (computer01) совпадает?
-
Какое имя должно использоваться в сертификате, чтобы обеспечить успешную аутентификацию?
Что я попробовал:
Настроил политики NPS для манипуляции именем пользователя (host/computer01 → [email protected]).
Выдал сертификаты с следующими настройками:
Для учетной записи компьютера: Общее имя (CN) = computer01.
Для учетной записи пользователя: Общее имя (CN) = computer01.
Установил сертификаты на клиенте и убедился, что сертификат CA был доверенным.
Проверил, что профиль Wi-Fi был настроен для использования аутентификации компьютера.
Данные окружения:
Сервер: Windows Server 2022 с ролями AD, CA и NPS.
Клиент: Windows 11, не входящий в домен.
Аутентификация: EAP-TLS с использованием сертификатной аутентификации.
Точка доступа: Aruba (управляемая из облака).
Наблюдения за журналом событий NPS:
- При использовании учетной записи компьютера (host/computer01):
Журнал показывает “Доступ запрещен” с причиной: “Учетная запись не найдена”.
Имя пользователя отображается в формате: host/computer01.
- При использовании учетной записи пользователя (computer01):
Учетная запись найдена, но аутентификация не удалась из-за несоответствия сертификата.
Подозреваемые проблемы:
- Сопоставление сертификата:
Сервер NPS может неправильно сопоставлять сертификат с учетной записью компьютера из-за префикса host/ или различий в том, как обрабатываются учетные записи компьютеров и учетные записи пользователей.
- Настройка сертификата:
Сертификат, выданный для учетной записи компьютера, может не иметь правильного субъекта или альтернативного имени субъекта (SAN), необходимого для аутентификации.
- Настройка политики NPS:
Политика NPS может ожидать специфический формат для имени пользователя или атрибутов сертификата, такого как UPN (например, [email protected]), а не host/computer01.
Что мне нужно:
- Разъяснение требований к сертификату:
Должно ли общее имя (CN) сертификата или альтернативное имя субъекта (SAN) совпадать с UPN или SAMAccountName учетной записи компьютера?
Для учетной записи компьютера, как должен выглядеть субъект и SAN сертификата?
- Рекомендации по настройке NPS:
Как я могу убедиться, что сервер NPS правильно сопоставляет сертификат с учетной записью компьютера?
Должна ли политика NPS удалять префикс host/, или есть подход получше?
Ответ или решение
Анализ проблемы: Несоответствие учетных записей компьютера и пользователя в NPS RADIUS-аутентификации
Введение
При настройке сервера RADIUS для аутентификации Wi-Fi с использованием сертификатов в среде Windows Server 2022 возникают случаи, когда учетная запись компьютера не распознается, тогда как учетная запись пользователя успешно проходит аутентификацию. Данная проблема требует внимательного анализа и понимания работы протокола EAP-TLS, а также правильной настройки политик NPS.
Причины несоответствия учетных записей
-
Формат имени пользователя:
При использовании сертификатов для аутентификации компьютеры идентифицируются через форматhost/computer01. Это может вызвать проблемы, так как NPS может не распознавать такой формат как корректный. Учетная запись пользователя, наоборот, не имеет этого префикса и просто обозначается какcomputer01, что является более приемлемым для NPS. -
Проблемы сопоставления сертификатов:
Сертификаты, выданные для компьютерных учетных записей, могут содержать в качестве Common Name (CN) или Subject Alternative Name (SAN) значения, которые не соответствуют ожиданиям NPS. Когда сертификат, выданный для компьютерной учетной записи, не соответствует правильному формату или не включает необходимые атрибуты, аутентификация может завершиться неудачей. -
Политики NPS:
Политики NPS могут быть настроены таким образом, что они ожидают определенный формат имен, например, UPN (User Principal Name) или SAMAccountName. Если эти ожидания не выполняются, это приведет к тому, что NPS не сможет сопоставить сертификат с учетной записью.
Ответы на ваши вопросы
-
Почему учетная запись компьютера (host/computer01) не совпадает в процессе аутентификации, в то время как учетная запись пользователя (computer01) совпадает?
Как уже упоминалось, проблема состоит в формате имени пользователя. При попытке аутентификации с использованием сертификата NPS не в состоянии распознать учетную записьhost/computer01, потому что она не совпадает с известным форматом. В случае с учетной записью пользователя такой проблемы не возникает, так как она распознается в ожидаемом виде. -
Какое имя должно быть использовано в сертификате для обеспечения успешной аутентификации?
В сертификате для компьютерной учетной записи рекомендуется использовать следующим образом:- Common Name (CN):
computer01(имя компьютера без префиксов). - Subject Alternative Name (SAN): также следует указать
computer01и, возможно, IP-адрес или FQDN, который будет использоваться для идентификации. Это поможет избежать путаницы при сопоставлении сертификатов с учетными записями.
- Common Name (CN):
Рекомендации по настройке NPS
-
Корректировка политик NPS:
Рассмотрите возможность использования регулярного выражения в политике NPS, чтобы убрать префиксhost/из имени пользователя. Это поможет сопоставить сертификат с правильной учетной записью. -
Проверка сертификатов:
Убедитесь, что выданные сертификаты соответствуют всем требованиям. Проверьте, что CN и SAN включают полное имя компьютера без ненужных префиксов и что у вас есть правильные роли и разрешения на уровне CA. -
Тестирование и отладка:
Проведите тестирование с разными конфигурациями сертификатов и политиками NPS. Это поможет вам выявить приемлемые сочетания для успешной аутентификации.
Заключение
Решение проблемы несоответствия учетных записей в NPS RADIUS-аутентификации требует внимательного изучения формата имен, настройки сертификатов и корректной конфигурации политик NPS. Следуя приведенным рекомендациям, вы сможете успешно настроить аутентификацию на основе сертификатов и обеспечить надежный доступ к вашей Wi-Fi сети.