GPO: Autenticación 802.1x WLAN
Continuando con el artículo NPS: Autenticación 802.1x para nuestra red inalámbrica, lo que nos queda es como configurar los equipos de nuestra red para que se conecten a la WLAN. VAmos a configurarlo mediante una GPO y así podremos hacerlo de forma centralizada. Para ello vamos a crear una GPO asignada a la OU de los portátiles de la empresa, y la configuración es la siguiente:
Configuración de equipo – Directivas -Configuración de Windows – Configuración de Seguridad – Directivas de red inalámbrica (IEEE 802.11)
pulsamos con el boton secundario del ratón y seleccionamos la opción Crear una nueva directiva de red inalámbrica para Windows Vista y versiones posteriores, luego veremos la configuración para Windows XP
Escribimos un nombre descriptivo para la directiva
Escribimos el nombre del Perfil , el SSID y seleccionamos las tres opciones de conexión que se nos muestra. La última opción la tenemos que habilitar si habéis ocultado el SSID
seleccionamos Microsoft: Tarjeta inteligente u otro certficado como método de auetnticación de red, como modo de autenticación Autenticación de equipos
Ya tenemos nuestro perfil creado, si queremos configurar más redes pulsamos en Agregar y repetimos los pasos descritos anteriormente. También podemos configurar que el equipo se conecte a redes ad hoc y demás opciones (cada uno configurará las que crea necesarias según la política de seguridad de la empresa)
ahora que ya tenemos configurada la directiva para equipos con Windows Vista o posteriores debemos configurar la nueva directiva para equipos con Windows XP (si procede), para ello pulsamos en Crear nueva directiva para Windows XP (ya solo tenemos disponible la opción de Windows XP)
rellenamos los datos que nos solicita: Nombre de la directiva de XP, Descripción y elegimos el tipo de red a la que tendrá acceso el equipo, que el equipo usará la configuración automática de WLAN de Windows y que no se conecte a automáticamente a redes no preferidas
agregamos una nueva red de Infraestructura (con AP)
Escribimos el nombre del perfi, su descricpión y las opciones de seguridad que se ven en la imagen (WPA2 y AES (si lo soporta vuestro AP)
seleecionamos Microsoft: Tarjeta inteligente u otro certificado, el Mensaje EAPOL-Start como Transmitir por IEEE 802.1X y autenticación Solo Equipo, seleccionamos nuestra nuestro certificado raiz de confianza y que utilizamos un certificado en este equipo.
como vemos ya tenemos los dos perfiles de redes creados, ahora solo queda esperar a que se aplique la directiva de grupo en los equipos y tendríamos la configuración inalámbrica desplegada en todos los equipos
Si queréis filtrar que la GPO se aplique a determinados equipos de una OU, debeís filtrarla mediante la creación de un grupo de dominio y denegar que se aplique la directiva de grupo.
Espero que os sea de utilidad!!!
Carlos Garcia / 12 enero, 2021
Hola, buscando como configurar GPO de autenticación wifi por 802.1x he encontrado este artículo y el anterior (aunque se que es antiguo).
he seguido paso a paso la configuración pero en el portátil de pruebas que estoy utilizando no conecta a la wifi automáticamente.
Se queda “Conectando” es un W10 Pro. y el servidor un W Serv 2016.
He realizado toda la configuración de Certificados, RADIUS y GPOs y he realizado varias veces gpupdate /force y reiniciado.
¿Me puedes dar alguna pista de por qué puede estar fallando?.
Muchas gracias.
Un saludo.
Santiago Buitrago Reis / 20 enero, 2021
Hola Carlos:
Necesitaría algo más de información al respecto:
– Configuración Radius
– GPO que tienes configurada
– Autenticación por equipo (tienen el certificado instalado) o usuario (tienen el certificado instalado)
– ¿La CA es privada?
– ¿Qué AP estás utilizando?
Si quieres, envíame un correo a sbuitrago@asirsl.com con estas respuestas y te contesto por e-mail.