Hello all,<br><br>I want to deny any untrusted computer access to our lan. Lately we've had a lot of students and staff bring laptops into our school and plugging them in to any convenient network port. I want only users with domain credentials using trusted computers on the LAN.<br>
My test setup looks like Active Directory <=> winbind <=> Freeradius <=> NAS <=> Supplicant<br><br>I think that using  PEAP/EAP-MSCHAPv2 with client certs may be a reasonable way to proceed but I would like to get a sanity check from folks. <br>
<br>1) Would PEAP/EAP-MSCHAPv2 with client certs accomplish my goal?<br>2) Is there a better approach?<br>3) I am not clear on how to force checking of the client cert. I enabled "EAP-TLS-Require-Client-Cert = Yes" under the PEAP section of the eap.conf file but <br>
 my WindowsXP client was still allowed to authenticate without specifying a root CA. Am I missing the point, if so please guide me.<br>4) Eventually I'll want to extend this approach to wireless devices so that trusted computers will get LAN services while untrusted computers with valid user credentials will be handed off to a different VLAN.<br>
<br>Thanks for your help!<br><br>John<br><br><br>