የዋይፋይ ድርጅት። FreeRadius + FreeIPA + Ubiquiti

የኮርፖሬት ዋይፋይን የማደራጀት አንዳንድ ምሳሌዎች አስቀድሞ ተገልጸዋል። እዚህ ተመሳሳይ መፍትሄ እንዴት እንደተገበርኩ እና በተለያዩ መሳሪያዎች ላይ ሲገናኙ ያጋጠሙኝን ችግሮች እገልጻለሁ. ያለውን ኤልዲኤፒ ከተመዘገቡ ተጠቃሚዎች ጋር እንጠቀማለን፣ FreeRadius ን ከፍ እናደርጋለን እና WPA2-Enterpriseን በUbnt መቆጣጠሪያ ላይ እናዋቅራለን። ሁሉም ነገር ቀላል ይመስላል. እስኪ እናያለን…

ስለ ኢኤፒ ዘዴዎች ትንሽ

ወደ ሥራው ከመቀጠልዎ በፊት, በእኛ መፍትሄ ውስጥ የትኛውን የማረጋገጫ ዘዴ እንደምንጠቀም መወሰን አለብን.

ከዊኪፔዲያ፡

EAP በገመድ አልባ ኔትወርኮች እና ነጥብ-ወደ-ነጥብ ግንኙነቶች ውስጥ ብዙ ጊዜ ጥቅም ላይ የሚውል የማረጋገጫ ማዕቀፍ ነው። ቅርጸቱ መጀመሪያ የተገለፀው በ RFC 3748 እና በ RFC 5247 ውስጥ ነው።
EAP የማረጋገጫ ዘዴን ለመምረጥ፣ ቁልፎችን ለማለፍ እና እነዚያን ቁልፎች በ EAP ዘዴዎች በተባሉ ተሰኪዎች ለማስኬድ ይጠቅማል። ብዙ የ EAP ዘዴዎች አሉ፣ ሁለቱም በራሱ በ EAP የተገለጹ እና በግል አቅራቢዎች የተለቀቁ። EAP የአገናኝ ንብርብሩን አይገልጽም፣ የመልእክቱን ቅርጸት ብቻ ይገልፃል። ኢኤፒን የሚጠቀም እያንዳንዱ ፕሮቶኮል የራሱ የኢኤፒ መልእክት ማቀፊያ ፕሮቶኮል አለው።

ዘዴዎች እራሳቸው:

• LEAP በCISCO የተገነባ የባለቤትነት ፕሮቶኮል ነው። ተጋላጭነቶች ተገኝተዋል። በአሁኑ ጊዜ ለመጠቀም አይመከርም
• EAP-TLS በገመድ አልባ አቅራቢዎች መካከል በደንብ ይደገፋል። የኤስኤስኤል ደረጃዎች ተተኪ ስለሆነ ደህንነቱ የተጠበቀ ፕሮቶኮል ነው። ደንበኛን ማዋቀር በጣም የተወሳሰበ ነው። ከይለፍ ቃል በተጨማሪ የደንበኛ ሰርተፍኬት ያስፈልግዎታል። በብዙ ስርዓቶች ላይ ይደገፋል
• EAP-TTLS - በብዙ ስርዓቶች ላይ በሰፊው የሚደገፍ፣ የPKI የምስክር ወረቀቶችን በማረጋገጫ አገልጋዩ ላይ ብቻ በመጠቀም ጥሩ ደህንነትን ይሰጣል።
• EAP-MD5 ሌላው ክፍት መስፈርት ነው። አነስተኛ ደህንነትን ያቀርባል። ተጋላጭ, የጋራ ማረጋገጥ እና ቁልፍ ማመንጨትን አይደግፍም
• EAP-IKEv2 - በበይነመረብ ቁልፍ ልውውጥ ፕሮቶኮል ስሪት ላይ የተመሰረተ 2. በደንበኛው እና በአገልጋይ መካከል የጋራ ማረጋገጫ እና የክፍለ ጊዜ ቁልፍ ማቋቋሚያ ያቀርባል.
• PEAP የ CISCO፣ Microsoft እና RSA Security እንደ ክፍት መስፈርት የጋራ መፍትሄ ነው። በምርቶች ውስጥ በሰፊው የሚገኝ ፣ በጣም ጥሩ ደህንነትን ይሰጣል። ከ EAP-TTLS ጋር ተመሳሳይ፣ በአገልጋዩ በኩል የምስክር ወረቀት ብቻ የሚያስፈልገው
• PEAPv0/EAP-MSCHAPv2 - ከ EAP-TLS በኋላ ይህ በዓለም ላይ በስፋት ጥቅም ላይ የዋለ ሁለተኛው ደረጃ ነው። ጥቅም ላይ የዋለ የደንበኛ-አገልጋይ ግንኙነት በማይክሮሶፍት፣ሲስኮ፣አፕል፣ሊኑክስ
• PEAPv1/EAP-GTC - በሲስኮ የተፈጠረ እንደ PEAPv0/EAP-MSCHAPv2 አማራጭ። የማረጋገጫ ውሂብን በማንኛውም መንገድ አይጠብቅም። በዊንዶውስ ኦኤስ ላይ አይደገፍም
• EAP-FAST የLEAP ድክመቶችን ለማስተካከል በሲስኮ የተሰራ ዘዴ ነው። የተጠበቀ የመዳረሻ ምስክር ወረቀት (PAC) ይጠቀማል። ሙሉ በሙሉ ያልተጠናቀቀ

ከዚህ ሁሉ ልዩነት ውስጥ ምርጫው አሁንም ትልቅ አይደለም. የማረጋገጫ ዘዴው ይፈለጋል-ጥሩ ደህንነት, በሁሉም መሳሪያዎች ላይ ድጋፍ (Windows 10, macOS, Linux, Android, iOS) እና እንዲያውም ቀላል የሆነው የተሻለ ነው. ስለዚህ, ምርጫው ከ PAP ፕሮቶኮል ጋር በመተባበር በ EAP-TTLS ላይ ወድቋል.
ጥያቄው ሊነሳ ይችላል - ለምን PAP ይጠቀሙ? የይለፍ ቃላትን በግልፅ ስለሚያስተላልፍ?

አዎ ልክ ነው. በFreRadius እና FreeIPA መካከል የሚደረግ ግንኙነት በዚህ መንገድ ይከናወናል። በማረም ሁነታ የተጠቃሚ ስም እና የይለፍ ቃል እንዴት እንደሚላኩ መከታተል ይችላሉ። አዎ፣ እና ልቀቃቸው፣ አንተ ብቻ የፍሪራዲየስ አገልጋይ መዳረሻ አለህ።

ስለ EAP-TTLS ስራ የበለጠ ማንበብ ይችላሉ። እዚህ

FreeRADIUS

FreeRadius በ CentOS 7.6 ላይ ይነሳል። እዚህ ምንም የተወሳሰበ ነገር የለም, በተለመደው መንገድ አዘጋጅተናል.

yum install freeradius freeradius-utils freeradius-ldap -y

ስሪት 3.0.13 ከጥቅሎች ተጭኗል. የኋለኛው ሊወሰድ ይችላል https://freeradius.org/

ከዚያ በኋላ, FreeRadius ቀድሞውኑ እየሰራ ነው. በ /etc/raddb/users ውስጥ መስመሩን ማስረዳት ይችላሉ።

steve   Cleartext-Password := "testing"

በማረም ሁነታ ወደ አገልጋዩ አስጀምር

freeradius -X

እና ከ localhost የሙከራ ግንኙነት ይፍጠሩ

radtest steve testing 127.0.0.1 1812 testing123

መልስ አገኘሁ የተቀበለው የመዳረሻ-ተቀበል መታወቂያ 115 ከ 127.0.0.1:1812 እስከ 127.0.0.1:56081 ርዝመት 20ሁሉም ነገር ደህና ነው ማለት ነው። ቀጥልበት.

ሞጁሉን እናገናኘዋለን ldap.

ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

እና ወዲያውኑ እንለውጣለን. FreeIPA ን ማግኘት እንድንችል FreeRadius እንፈልጋለን

mods-የነቃ / ldap

ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...

ራዲየስ አገልጋዩን እንደገና ያስጀምሩ እና የኤልዲኤፒ ተጠቃሚዎችን ማመሳሰል ያረጋግጡ፡

radtest user_ldap password_ldap localhost 1812 testing123

ኢፕን በማስተካከል ላይ mods-የነቃ/eap
እዚህ ሁለት የ eap ምሳሌዎችን እንጨምራለን. በእውቅና ማረጋገጫዎች እና ቁልፎች ብቻ ይለያያሉ. ይህ ለምን እንደሆነ ከዚህ በታች እገልጻለሁ።

mods-የነቃ/eap

eap eap-client {                                                                                                                                                                                                                           default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_file = ${certdir}/fisrt.key
           certificate_file = ${certdir}/first.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}
eap eap-guest {
default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_passwotd=blablabla
           private_key_file = ${certdir}/server.key
           certificate_file = ${certdir}/server.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}

ተጨማሪ አርትዖት ጣቢያ የነቃ/ነባሪ. የተፈቀደላቸው እና የሚያረጋግጡ ክፍሎች ትኩረት የሚስቡ ናቸው።

ጣቢያ የነቃ/ነባሪ

authorize {
  filter_username
  preprocess
  if (&User-Name == "guest") {
   eap-guest {
       ok = return
   }
  }
  elsif (&User-Name == "client") {
    eap-client {
       ok = return 
    }
  }
  else {
    eap-guest {
       ok = return
    }
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  logintime
  pap
  }

authenticate {
  Auth-Type LDAP {
    ldap
  }
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  pap
}

በተፈቀደው ክፍል ውስጥ, እኛ የማያስፈልጉንን ሁሉንም ሞጁሎች እናስወግዳለን. ldap ብቻ እንተዋለን. የደንበኛ ማረጋገጫ በተጠቃሚ ስም ያክሉ። ለዚህም ነው ከላይ ሁለት የኢፕ ምሳሌዎችን የጨመርነው።

ባለብዙ ኢ.ፒ.ኤእውነታው ግን አንዳንድ መሳሪያዎችን በሚያገናኙበት ጊዜ የስርዓት የምስክር ወረቀቶችን እንጠቀማለን እና ጎራውን እንገልፃለን. ከታመነ የምስክር ወረቀት ባለስልጣን ሰርተፍኬት እና ቁልፍ አለን። በግለሰብ ደረጃ, በእኔ አስተያየት, በእያንዳንዱ መሳሪያ ላይ በራሱ የተፈረመ የምስክር ወረቀት ከመጣል እንዲህ ዓይነቱ የግንኙነት አሰራር ቀላል ነው. ነገር ግን በራስ የተፈረሙ የምስክር ወረቀቶች ባይኖሩም, አሁንም አልሰራም. ሳምሰንግ መሳሪያዎች እና አንድሮይድ =< 6 ስሪቶች የስርዓት ሰርተፊኬቶችን መጠቀም አይችሉም። ስለዚህ፣ በራሳቸው የተፈረሙ የምስክር ወረቀቶች ያላቸው የተለየ የ eap-guest ምሳሌ እንፈጥራለን። ለሁሉም ሌሎች መሳሪያዎች፣ eap-client ከታመነ የምስክር ወረቀት ጋር እንጠቀማለን። የተጠቃሚ-ስሙ የሚወሰነው መሳሪያው በሚገናኝበት ጊዜ በማይታወቅ መስክ ነው። 3 እሴቶች ብቻ ይፈቀዳሉ፡ እንግዳ፣ ደንበኛ እና ባዶ መስክ። የተቀረው ነገር ሁሉ ይጣላል. በፖለቲከኞች ውስጥ ይዋቀራል። ትንሽ ቆይቼ አንድ ምሳሌ እሰጣለሁ።

ፈቃዱን እናርትዕ እና ክፍሎቹን እናረጋግጥ ጣቢያ-የነቃ / የውስጥ-ዋሻ

ጣቢያ-የነቃ / የውስጥ-ዋሻ

authorize {
  filter_username
  filter_inner_identity
  update control {
   &Proxy-To-Realm := LOCAL
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  digest
  logintime
  pap
  }

authenticate {
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  Auth-Type PAP {
    pap
  }
  ldap
}

በመቀጠል በፖሊሲው ውስጥ የትኞቹ ስሞች ማንነታቸው ላልታወቀ መግቢያ መጠቀም እንደሚችሉ መግለጽ ያስፈልግዎታል። ማረም policy.d/filter.

ከዚህ ጋር ተመሳሳይ የሆኑ መስመሮችን ማግኘት አለብዎት:

if (&outer.request:User-Name !~ /^(anon|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

እና ከዚህ በታች በኤልሲፍ ውስጥ የሚፈለጉትን እሴቶች ይጨምሩ።

elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

አሁን ወደ ማውጫው መሄድ ያስፈልገናል የምስክር ወረቀቶች. እዚህ ቁልፍ እና ከታመነ የምስክር ወረቀት ባለስልጣን ሰርተፍኬት ማስቀመጥ አለቦት፣ ይህም አስቀድመን ያለን እና ለኤፕ እንግዳ በራስ የተፈረሙ ሰርተፊኬቶችን መፍጠር አለብን።

በፋይሉ ውስጥ ያሉትን መለኪያዎች ይቀይሩ ca.cnf.

ca.cnf

...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"

በፋይሉ ውስጥ ተመሳሳይ እሴቶችን እንጽፋለን አገልጋይ.cnf. የምንለውጠው ብቻ ነው።
የጋራ ስም:

አገልጋይ.cnf

...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"

ፍጠር፡

make

ዝግጁ። ደረሰ አገልጋይ.crt и አገልጋይ.ቁልፍ ከላይ በ eap- እንግዳ ተመዝግበናል።

እና በመጨረሻ፣ የመዳረሻ ነጥቦቻችንን ወደ ፋይሉ እንጨምር የደንበኛ. ኮን. 7ቱ አሉኝ እያንዳንዱን ነጥብ ለየብቻ ላለመጨመር እኛ የሚገኙበትን ኔትወርክ ብቻ እንጽፋለን (የእኔ የመዳረሻ ነጥቦች በተለየ VLAN ውስጥ ናቸው)።

client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}

Ubiquiti መቆጣጠሪያ

በመቆጣጠሪያው ላይ የተለየ ኔትወርክን እናነሳለን. 192.168.2.0/24 ይሁን
ወደ ቅንብሮች -> መገለጫ ይሂዱ። አዲስ እንፈጥራለን፡-

የራዲየስ አገልጋይ አድራሻ እና ወደብ እና በፋይሉ ውስጥ የተፃፈውን የይለፍ ቃል እንጽፋለን ደንበኞች.conf:

አዲስ የገመድ አልባ አውታረ መረብ ስም ይፍጠሩ። እንደ የማረጋገጫ ዘዴ WPA-EAP (ኢንተርፕራይዝ) ይምረጡ እና የተፈጠረውን ራዲየስ መገለጫ ይግለጹ፡

ሁሉንም ነገር እናስቀምጣለን, ተግብር እና እንቀጥላለን.

ደንበኞችን ማዋቀር

በጣም አስቸጋሪ በሆነው እንጀምር!

Windows 10

ችግሩ የሚመጣው ዊንዶውስ ከድርጅታዊ ዋይፋይ ጋር በጎራ በኩል እንዴት እንደሚገናኙ እስካሁን ስለማያውቅ ነው። ስለዚህ የምስክር ወረቀታችንን በእጅ ወደ የታመነው የእውቅና ማረጋገጫ ማከማቻ መስቀል አለብን። እዚህ ሁለቱንም በራስ የተፈረሙ እና ከማረጋገጫ ባለስልጣን መጠቀም ይችላሉ። ሁለተኛውን እጠቀማለሁ.

በመቀጠል, አዲስ ግንኙነት መፍጠር ያስፈልግዎታል. ይህንን ለማድረግ ወደ አውታረ መረብ እና የበይነመረብ ቅንብሮች ይሂዱ -> የአውታረ መረብ እና ማጋሪያ ማእከል -> አዲስ ግንኙነት ወይም አውታረ መረብ ይፍጠሩ እና ያዋቅሩ።

የአውታረ መረቡ ስም እራስዎ ያስገቡ እና የደህንነትን አይነት ይቀይሩ። ጠቅ ካደረግን በኋላ የግንኙነት ቅንብሮችን ይቀይሩ እና በደህንነት ትሩ ውስጥ የአውታረ መረብ ማረጋገጫን ይምረጡ - EAP-TTLS።

ወደ ግቤቶች እንገባለን ፣ የማረጋገጫ ምስጢራዊነትን እንገልፃለን - ደምበኛ. እንደ ታማኝ የምስክር ወረቀት ባለስልጣን ያከልነውን የምስክር ወረቀት ይምረጡ፣ “አገልጋዩ ሊፈቀድለት ካልቻለ ለተጠቃሚው ግብዣ አይስጡ” በሚለው ሳጥን ላይ ምልክት ያድርጉ እና የማረጋገጫ ዘዴን ይምረጡ - ያልተመሰጠረ የይለፍ ቃል (PAP)።

በመቀጠል ወደ የላቁ ቅንብሮች ይሂዱ, "የማረጋገጫ ሁነታን ይግለጹ" ላይ ምልክት ያድርጉ. "የተጠቃሚ ማረጋገጫ" ን ይምረጡ እና ጠቅ ያድርጉ ምስክርነቶችን ያስቀምጡ. እዚህ የተጠቃሚ ስም_ldap እና የይለፍ ቃል_ldap ማስገባት ያስፈልግዎታል

ሁሉንም ነገር እናስቀምጣለን, እንጠቀማለን, እንዘጋለን. ከአዲስ አውታረ መረብ ጋር መገናኘት ይችላሉ።

ሊኑክስ

በኡቡንቱ 18.04፣ 18.10፣ Fedora 29፣ 30 ላይ ሞከርኩ።

በመጀመሪያ የምስክር ወረቀታችንን እናውርድ። በሊኑክስ ውስጥ የስርዓት ሰርተፊኬቶችን መጠቀም ይቻል እንደሆነ እና እንደዚህ አይነት መደብር መኖሩን አላገኘሁም.

ወደ ጎራው እንገናኝ። ስለዚህ የምስክር ወረቀታችን ከተገዛበት የምስክር ወረቀት ባለስልጣን የምስክር ወረቀት እንፈልጋለን።

ሁሉም ግንኙነቶች በአንድ መስኮት ውስጥ ይከናወናሉ. የእኛን አውታረመረብ መምረጥ;

ስም-አልባ-ደንበኛ
ጎራ - የምስክር ወረቀቱ የተሰጠበት ጎራ

የ Android

ሳምሰንግ ያልሆነ

ከስሪት 7፣ ዋይፋይን ሲያገናኙ፣ ጎራውን ብቻ በመጥቀስ የስርዓት ሰርተፊኬቶችን መጠቀም ይችላሉ።

ጎራ - የምስክር ወረቀቱ የተሰጠበት ጎራ
ስም-አልባ-ደንበኛ

ሳምሰንግ

ከላይ እንደጻፍኩት የሳምሰንግ መሳሪያዎች ከ WiFi ጋር ሲገናኙ የስርዓት ሰርተፊኬቶችን እንዴት እንደሚጠቀሙ አያውቁም እና በጎራ በኩል የመገናኘት ችሎታ የላቸውም. ስለዚህ የማረጋገጫ ባለስልጣን ስርወ ሰርተፍኬት እራስዎ ማከል አለቦት (ca.pem፣ በራዲየስ አገልጋይ ላይ እንወስደዋለን)። በራስ የተፈረመበት ቦታ እዚህ አለ።

የምስክር ወረቀቱን ወደ መሳሪያዎ ያውርዱ እና ይጫኑት።

የምስክር ወረቀት መጫን







በተመሳሳይ ጊዜ የስክሪን መክፈቻ ስርዓተ ጥለት፣ ፒን ኮድ ወይም የይለፍ ቃል ካልተዋቀረ ማዘጋጀት ያስፈልግዎታል፡-

የምስክር ወረቀት መጫን የተወሳሰበ ስሪት አሳይቻለሁ። በአብዛኛዎቹ መሳሪያዎች ላይ በቀላሉ የወረደውን የምስክር ወረቀት ጠቅ ያድርጉ።

የምስክር ወረቀቱ ሲጫን ወደ ግንኙነቱ መቀጠል ይችላሉ፡-

የምስክር ወረቀት - የተጫነውን ያመልክቱ
ስም-አልባ ተጠቃሚ - እንግዳ

macOS

ከሳጥኑ ውጪ ያሉ የ Apple መሳሪያዎች ከ EAP-TLS ጋር ብቻ ሊገናኙ ይችላሉ, ነገር ግን አሁንም በእነሱ ላይ የምስክር ወረቀት መጣል ያስፈልግዎታል. የተለየ የግንኙነት ዘዴን ለመጥቀስ የ Apple Configurator 2ን መጠቀም ያስፈልግዎታል በዚህ መሠረት በመጀመሪያ ወደ ማክዎ ማውረድ ፣ አዲስ መገለጫ መፍጠር እና ሁሉንም አስፈላጊ የ WiFi መቼቶች ማከል አለብዎት።

Apple Configurator



የአውታረ መረብ ስምዎን እዚህ ያስገቡ
የደህንነት አይነት - WPA2 ድርጅት
ተቀባይነት ያላቸው የ EAP ዓይነቶች - TTLS
የተጠቃሚ ስም እና የይለፍ ቃል - ባዶ ይተዉት።
የውስጥ ማረጋገጫ - PAP
ውጫዊ ማንነት - ደንበኛ

እምነት ትር. እዚህ የእኛን ጎራ እንገልፃለን

ሁሉም። መገለጫው ሊቀመጥ፣ ሊፈረም እና ወደ መሳሪያዎች ሊሰራጭ ይችላል።

መገለጫው ከተዘጋጀ በኋላ ወደ ፖፒው ማውረድ እና መጫን ያስፈልግዎታል. በመጫን ሂደቱ ወቅት የተጠቃሚውን የተጠቃሚንmae_ldap እና የይለፍ ቃል_ldap መግለፅ ያስፈልግዎታል፡-

የ iOS

ሂደቱ ከ macOS ጋር ተመሳሳይ ነው። ፕሮፋይል መጠቀም ያስፈልግዎታል (ለ macOS ተመሳሳይ መጠቀም ይችላሉ. በ Apple Configurator ውስጥ መገለጫ እንዴት እንደሚፈጠር, ከላይ ይመልከቱ).

መገለጫ ያውርዱ፣ ይጫኑ፣ ምስክርነቶችን ያስገቡ፣ ያገናኙ፡

ይኼው ነው. የራዲየስ አገልጋይ አዘጋጅተናል፣ ከFreeIPA ጋር አመሳስለነዋል፣ እና Ubiquiti APs WPA2-EAPን እንዲጠቀሙ ነግረናል።

ሊሆኑ የሚችሉ ጥያቄዎች

AT: መገለጫ/ሰርተፍኬት ወደ ሰራተኛ እንዴት ማስተላለፍ እንደሚቻል?

ስለ: ሁሉንም የምስክር ወረቀቶች/መገለጫዎችን ከድር መዳረሻ ጋር በftp ላይ አከማችታለሁ። ከኤፍቲፒ በስተቀር የፍጥነት ገደብ እና የበይነመረብ መዳረሻ ያለው የእንግዳ አውታረ መረብ አሳድገዋል።
ማረጋገጫው ለ 2 ቀናት ይቆያል, ከዚያ በኋላ እንደገና ይጀመራል እና ደንበኛው ያለ በይነመረብ ይቀራል. ያ። አንድ ሰራተኛ ከዋይፋይ ጋር መገናኘት ሲፈልግ በመጀመሪያ ከእንግዳው አውታረ መረብ ጋር ይገናኛል፣ኤፍቲፒን ያገኛል፣የሚያስፈልገውን ሰርተፍኬት ወይም ፕሮፋይል ያውርዳል፣ይጭናል እና ከዚያ ከኮርፖሬት አውታረመረብ ጋር መገናኘት ይችላል።

AT: ለምን ከMSCHAPv2 ጋር schema አትጠቀምም? እሷ የበለጠ ደህና ነች!

ስለ: በመጀመሪያ ፣ እንዲህ ዓይነቱ እቅድ በ NPS (የዊንዶውስ አውታረ መረብ ፖሊሲ ​​ስርዓት) ላይ በጥሩ ሁኔታ ይሰራል ፣ በእኛ ትግበራ በተጨማሪ LDAP (FreeIpa) ማዋቀር እና በአገልጋዩ ላይ የይለፍ ቃል ሃሽዎችን ማከማቸት አስፈላጊ ነው። አክል ቅንብሮችን ማድረግ አይመከርም, ምክንያቱም. ይህ ወደ አልትራሳውንድ ማመሳሰል የተለያዩ ችግሮች ሊያስከትል ይችላል. ሁለተኛ፣ ሃሽ MD4 ነው፣ ስለዚህ ብዙ ደህንነትን አይጨምርም።

AT: መሳሪያዎችን በማክ አድራሻዎች መፍቀድ ይቻላል?

ስለ: አይ፣ ይህ ደህንነቱ የተጠበቀ አይደለም፣ አጥቂ የማክ አድራሻዎችን ሊቀይር ይችላል፣ እና በይበልጥም በ MAC አድራሻዎች ፈቃድ በብዙ መሳሪያዎች ላይ አይደገፍም።

AT: በአጠቃላይ እነዚህ ሁሉ የምስክር ወረቀቶች ምን ጥቅም ላይ ይውላሉ? ያለ እነርሱ መቀላቀል ይችላሉ?

ስለ: ሰርተፊኬቶች አገልጋዩን ለመፍቀድ ያገለግላሉ። እነዚያ። ሲገናኙ መሳሪያው የሚታመን ወይም የማይታመን አገልጋይ መሆኑን ያረጋግጣል። ከሆነ, ማረጋገጫው ይቀጥላል, ካልሆነ ግንኙነቱ ተዘግቷል. ያለ ሰርተፊኬት መገናኘት ይችላሉ ነገር ግን አጥቂ ወይም ጎረቤት ራዲየስ ሰርቨር እና የመዳረሻ ነጥብን እንደ እኛ ቤት ቢያዘጋጅ የተጠቃሚውን ምስክርነት በቀላሉ ሊጠላለፍ ይችላል (በግልጽ ጽሁፍ መተላለፉን አይርሱ)። እና የምስክር ወረቀት ጥቅም ላይ ሲውል ጠላት በእኛ ምዝግብ ማስታወሻዎች ውስጥ የእኛ ምናባዊ የተጠቃሚ ስም - እንግዳ ወይም ደንበኛ እና የዓይነት ስህተት - ያልታወቀ የ CA ሰርቲፊኬት ያያል።

ስለ macOS ትንሽ ተጨማሪብዙውን ጊዜ በ macOS ላይ ስርዓቱን እንደገና መጫን በበይነመረብ በኩል ይከናወናል። በመልሶ ማግኛ ሁኔታ ውስጥ፣ ማክ ከዋይፋይ ጋር መገናኘት አለበት፣ እና የእኛ የድርጅት ዋይፋይ ወይም የእንግዳ አውታረመረብ እዚህ አይሰራም። በግሌ ሌላ አውታረ መረብ አነሳሁ, የተለመደው WPA2-PSK, የተደበቀ, ለቴክኒካዊ ስራዎች ብቻ. ወይም አሁንም ሊነሳ የሚችል የዩኤስቢ ፍላሽ አንፃፊ ከስርዓቱ ጋር አስቀድመው መስራት ይችላሉ። ነገር ግን ፖፒው ከ 2015 በኋላ ከሆነ, አሁንም ለዚህ ፍላሽ አንፃፊ አስማሚ ማግኘት ያስፈልግዎታል)

ምንጭ: hab.com