Hi Alan,<div><br></div><div>Thanks for your insight, you are absolutely correct regarding the issues.</div><div>I will have to find a compromise that is acceptable by everyone.<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div class="im"><br>
>    We maintain a central AD with all the user accounts in it but there are no<br>
>    machines associated with that AD.<br>
<br>
</div>any reasons for proxying to the NPS rather than binding the FR system into the AD<br>
and authenticating locally?<br></blockquote><div><br></div><div>Only that the FR site mentioned it to be complicated and we already have an NPS that we are otherwise happy with.</div><div>Looks like this would be the best option.</div>
<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im"><br>
>    The self signed certificate works but people get prompted to accept it and<br>
>    we were asked if it was possible for that to not happen.<br>
<br>
</div>some clients may prompt for the RADIUS or CA certificate anyway.<br>
<div class="im"><br>
>    The most likely users of this service would be the VIP types, it is<br>
>    expected to "just work" so here I am.<br>
<br>
</div>ah...the VIP types who 'just want it to work!' - and thus decide that security<br>
requirements are superfluous and get in the way. fine, you need to demonstrate the<br>
issue with a classic man in the middle attack - a couple of easy to boot systems<br>
exist which do that.<br>
<div class="im"><br>
>    Self signed or commercial makes no difference as the certificate is only<br>
>    used for server authentication.<br>
<br>
</div>correct.<br>
<div class="im"><br>
>    The only difference is users having to manually trust a cert or not.<br>
>    Unless I am wrong.<br>
<br>
</div>I would seriously advise that you look to having the right security in place and avoid<br>
users/clients having to configure their systems - ie an 802.1X deployment tool (such<br>
as XpressConnect from CloudPath) which will do all the work/configuration and installation<br>
of a CA for you as per your requirements - multi-platform and will do wireless and wired.<br>
(there are alternatives but none that are as feature-rich and support as many clients)<br></blockquote><div><br></div><div>Will definitely look into that.</div><div>The difficulty is that some of the users are so remote from us that our only encounter with them is seeing a log entry.</div>
<div>This is a global solution very removed from the local tech team, only used to let roaming users on the wireless network.</div><div>We are providing a radius so they don't have to maintain a full copy of all the users in the network (network of companies).</div>
<div><br></div><div>It's a continuous headache for us.</div><div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="HOEnZb"><div class="h5"><br>
alan<br>
-<br>
List info/subscribe/unsubscribe? See <a href="http://www.freeradius.org/list/users.html" target="_blank">http://www.freeradius.org/list/users.html</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>Bertalan Voros<div>m: 07932858025</div>
</div>