Всем привет!
Подскажите как добиться следующего:
Хочу: поднять SSID в режиме WPA2-Ent.
Как будет правильнее всего сделать?
В идеале хочу как можно меньшего геммороя, а именно:
WPA2-Ent - FreeRadius - LDAP
При этом хочется минимум настроек со стороны клиента. То есть, хочу аутотентифицироваться по группе в LDAP.
Какую схему выбрать? EAP-TLS или EAP-PEAP?
Если я правильно понял, то EAP-TLS, мне не подходит, т.к. надо будет не через LDAP ходить, а делать для каждого сертификаты и ключи, и устанавливать в клиента. EAP-PEAP - вроде я так понял во всех клиентах (Win Linux IPhone) - можно подключаться не имея сертификатов сервера вообще. - Это мне наиболее подходит, но вопрос такой: что будет если школьник поднимит точку с аналогичным <SSID name> в режиме WPA2-Ent - если мои клиенты будут к нему приходить не обращая внимание на отсутствие сертификата сервера - он сможет мои пароли проснифать таким образом? Как клиент передаёт пароль используя: EAP-PEAP в открытом виде или нет?
Можно ли сделать так: выбрать скажем EAP-PEAP + установить в каждого клиента некий самоподписный сертификат сервера и тогда клиенты бы без лишней ругани и вопросов приходили бы на FreeRadius, а он в свою очередь бы ходил уже в LDAP.
Или может можно купить сертификат в каком-нибудь CA, чтобы не устанавливать ничего на клиентскую сторону, и в тоже время клиент знал, что он пришёл куда надо, а не на точку доступа школьника?
Как вообще правильно делают?
