On 11 October 2012 14:48, Phil Mayers <span dir="ltr"><<a href="mailto:p.mayers@imperial.ac.uk" target="_blank">p.mayers@imperial.ac.uk</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im">On 11/10/12 12:55, Bryce Mackintosh wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Okay, ignoring how I currently have things setup, how would other people<br>
go about controlling the users and devices on a wifi network by means of<br>
802.1x, freeradius using AD for authentication and Win XP Pro SP3<br>
</blockquote>
<br></div>
We don't bother. It's not obvious why "controlling the devices" is useful.<div class="im"><br></div></blockquote><div>IT policy here requires that there's no unapproved/unsupported devices on our network. With the current test PEAP-TLS configuration anyone could use their AD account to connect any device to the wifi network, rather than just the laptops they've been issued. </div>
<div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
clients. I'd have thought that this was a fairly common requirement in<br>
the enterprise world, so I'm surprised there's not an obvious solution,<br>
or am I missing something? At the moment it looks like we'll have to<br>
abandon 802.1x and go back to WPA2-PSK.<br>
</blockquote>
<br></div>
Eh? How does *that* help? </blockquote><div><br></div><div>It's what we have currently in production, and only IT know the key, so we can at the moment control what gets on our wifi network - at least at my site</div>
<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">If you really want to do this, then:<br>
<br>
 1. Use machine auth for 802.1x<br>
 2. Use policies *on* the machines to control the users<div class="HOEnZb"><div class="h5"></div></div></blockquote></div><br><div>Management currently (they didn't initially) consider machine auth more important than user auth for access to the new wifi network. As I can only have one or the other via 802.1x, I'll focus on getting the machine auth working and go from there.</div>
<div><br></div><div>--</div><div>Bryce</div>