3. Zastosowanie certyfikatów cyfrowych

Gdy zdecydujemy się na zastosowanie protokołów EAP/PEAP w uwierzytelnianiu 802.1X, będziemy mogli wyposażyć serwer RADIUS w cyfrowy certyfikat do opcjonalnej, ale bardzo użytecznej walidacji serwera wobec użytkowników chcących się uwierzytelnić. Taki mechanizm przeciwdziała atakom typu man-in-the-middle.

Możemy sami stworzyć certyfikat typu self-signed przez własne centrum certyfikacji (CA) - wtedy musimy dostarczyć także certyfikat główny (Root CA) do wszystkich komputerów i urządzeń użytkowników - by można było przeprowadzić walidację serwera.

Jeśli korzystamy z Active Directory i Windows Server 2003 (albo nowszego), to certyfikaty Root CA możemy dystrybuować do zarządzanych komputerów, wykorzystując Group Policy. W przypadku komputerów nie należących do domeny i urządzeń mobilnych dostarczenie certyfikatu będzie musiało być przeprowadzone ręcznie.

Zamiast korzystać z własnych certyfikatów i CA, możemy dla naszego serwera RADIUS kupić komercyjne certyfikaty, rozpoznawane przez Windows i inne systemy operacyjne. Nie musimy się wtedy martwić o dostarczanie certyfikatów głównych do urządzeń użytkowników końcowych.

4. Dystrybucja ustawień do urządzeń spoza domeny

Jeśli korzystamy z Active Directory i Windows Server 2003 (albo nowszego), to możemy dystrybuować ustawienia sieciowe (w tym 802.1X i cyfrowe certyfikaty) - poprzez zasady grupy (group policy) - do maszyn należących do domeny. Jednak zwykle jest też cała grupa spoza niej - prywatne laptopy, smartfony i tablety użytkowników (których liczba wraz z trendem BYOD stale rośnie). W ich przypadku nie musimy liczyć tylko na ręczną konfigurację, bo istnieją narzędzia, które w dystrybucji ustawień mogą nam pomóc.

Musimy pamiętać, że mamy trzy podstawowe rzeczy do dostarczenia: certyfikat Root CA, wykorzystywany przez serwer RADIUS, certyfikaty użytkowników (jeśli używamy EAP-TLS) oraz ustawienia sieciowe i 802.1X.

SU1X 802.1X Configuration Deployment Tool to narzędzie open source (sourceforge.net/projects/su1x/) przeznaczone dla Windows XP (SP3), Vista i Windows 7. Ustalamy preferencje, z komputera już skonfigurowanego w naszej sieci kopiujemy ustawienia sieciowe, a SU1X tworzy dla użytkowników spoza domeny kreatora, po uruchomieniu którego dokonuje się automatyczna konfiguracja ich komputerów. Narzędzie dystrybuuje certyfikaty główne oraz ustawienia sieciowe i 802.1X. Dodatkowo można je skonfigurować tak, by dodawało/usuwało inne profile sieciowe, zmieniało priorytety sieciowe i włączało protokół NAP/SoH. Może ono nawet konfigurować ustawienia serwera proxy dla Internet Explorera i Firefoxa oraz dodawać/usuwać drukarki sieciowe.

Jeśli chodzi o rozwiązania komercyjne, to można rozważyć wykorzystanie narzędzi: XpressConnect, ClearPass QuickConnect i ClearPass Onboard.