Есть сервер с Ubuntu 10.04, много точек доступа с поддержкой WPA-Enterprise и около тысячи нетбуков с Windows XP, которые сейчас в домене из Samba и LDAP.

Чего бы хотелось: пользователь получает доступ в систему по своему имени и паролю, и по ним же подключиться к wifi.

Пробовал настраивать EAP-PEAP. Всё работает и пользователь подключается к wifi-сети только при совпадении пользователя и пароля, которые берутся из LDAP. И всё бы хорошо, но для того чтобы войти в систему ему нужна сеть, которая появляется только после входа.

Идём дальше. Настроил EAP-TLS. Создал на сервере и установил все необходимые сертификаты на клиент: корневой сертификат, сертификат компьютера и сертификат пользователя. Получается, что пользователь жестко привязывается к определённому компьютеру, чего бы очень не хотелось.

Подскажите, пожалуйста, как можно решить данную проблему? Может есть всё таки какой-нибудь вариант без использования сертификатов?

• Настройка FreeRadius сервера с привязкой к LDAP,Сергей, 15:50 , 26-Май-11
  • Настройка FreeRadius сервера с привязкой к LDAP,zemikit, 17:55 , 26-Май-11
    • Настройка FreeRadius сервера с привязкой к LDAP,Сергей, 09:12 , 27-Май-11
      • Настройка FreeRadius сервера с привязкой к LDAP,zemikit, 11:49 , 27-Май-11

Либо применить политику не требовать проверку пароля сетью, тогда EAP-PEAP нормально сработает,  либо в случае EAP-TLS настраивать перемещаемые профили, но и здесь придется крутиться на тему исключения из профиля каталогов...

>  Либо применить политику не требовать проверку пароля сетью, тогда EAP-PEAP нормально
> сработает,  либо в случае EAP-TLS настраивать перемещаемые профили, но и
> здесь придется крутиться на тему исключения из профиля каталогов...

Первый вариант с EAP-PEAP не хочется из-за того, что, если я правильно понимаю, сеть должна быть открытой. Так?

А второй не подойдёт, т.к. на нетбуках маленькие SD-карты вместо HDD и загрузка перемещаемых профилей на них была отключена.

Третьего не дано?

>>  Либо применить политику не требовать проверку пароля сетью, тогда EAP-PEAP нормально
>> сработает,  либо в случае EAP-TLS настраивать перемещаемые профили, но и
>> здесь придется крутиться на тему исключения из профиля каталогов...
> Первый вариант с EAP-PEAP не хочется из-за того, что, если я правильно
> понимаю, сеть должна быть открытой. Так?

Да не так, трудность в том, что вы входите на комп с использованием кешированных данных на компьютере, т.е. пользователь уже должен хоть раз быть на этом компе авторизован в домене, у вас в данном случае трудность не в сетке wi-fi, а в наличии домена...

>>>  Либо применить политику не требовать проверку пароля сетью, тогда EAP-PEAP нормально
>>> сработает,  либо в случае EAP-TLS настраивать перемещаемые профили, но и
>>> здесь придется крутиться на тему исключения из профиля каталогов...
>> Первый вариант с EAP-PEAP не хочется из-за того, что, если я правильно
>> понимаю, сеть должна быть открытой. Так?
>  Да не так, трудность в том, что вы входите на комп
> с использованием кешированных данных на компьютере, т.е. пользователь уже должен хоть
> раз быть на этом компе авторизован в домене, у вас в
> данном случае трудность не в сетке wi-fi, а в наличии домена...

От домена никто отказываться не собирается, а вот вопрос с запуском доменных пользователей в wifi хотелось бы как-то решить.