🥇ওয়াইফাই এন্টারপ্রাইজ। FreeRadius + FreeIPA + Ubiquiti

কর্পোরেট ওয়াইফাই সংগঠিত করার কিছু উদাহরণ ইতিমধ্যে বর্ণনা করা হয়েছে। এখানে আমি বর্ণনা করব কিভাবে আমি একটি অনুরূপ সমাধান বাস্তবায়ন করেছি এবং বিভিন্ন ডিভাইসে সংযোগ করার সময় আমাকে যে সমস্যার সম্মুখীন হতে হয়েছিল। আমরা নিবন্ধিত ব্যবহারকারীদের সাথে বিদ্যমান LDAP ব্যবহার করব, FreeRadius বাড়াব এবং Ubnt কন্ট্রোলারে WPA2-Enterprise কনফিগার করব। সবকিছু সহজ বলে মনে হচ্ছে। দেখা যাক…

EAP পদ্ধতি সম্পর্কে একটু

টাস্ক নিয়ে এগিয়ে যাওয়ার আগে, আমাদের সমাধানে আমরা কোন প্রমাণীকরণ পদ্ধতি ব্যবহার করব তা নির্ধারণ করতে হবে।

উইকিপিডিয়া থেকে:

EAP হল একটি প্রমাণীকরণ কাঠামো যা প্রায়শই বেতার নেটওয়ার্ক এবং পয়েন্ট-টু-পয়েন্ট সংযোগে ব্যবহৃত হয়। বিন্যাসটি প্রথমে RFC 3748-এ বর্ণনা করা হয়েছিল এবং RFC 5247-এ আপডেট করা হয়েছিল।
EAP একটি প্রমাণীকরণ পদ্ধতি নির্বাচন করতে, কীগুলি পাস করতে এবং সেই কীগুলিকে EAP পদ্ধতি বলা হয় প্লাগ-ইনগুলির সাথে প্রক্রিয়া করতে ব্যবহৃত হয়। অনেক EAP পদ্ধতি আছে, উভয়ই EAP দিয়ে সংজ্ঞায়িত করা হয়েছে এবং পৃথক বিক্রেতাদের দ্বারা প্রকাশ করা হয়েছে। EAP লিঙ্ক স্তর সংজ্ঞায়িত করে না, এটি শুধুমাত্র বার্তা বিন্যাস সংজ্ঞায়িত করে। EAP ব্যবহার করে প্রতিটি প্রোটোকলের নিজস্ব EAP বার্তা এনক্যাপসুলেশন প্রোটোকল রয়েছে।

পদ্ধতিগুলি নিজেরাই:

LEAP হল CISCO দ্বারা বিকশিত একটি মালিকানাধীন প্রোটোকল। দুর্বলতা পাওয়া গেছে। এটি বর্তমানে ব্যবহার করার জন্য সুপারিশ করা হয় না
EAP-TLS ওয়্যারলেস বিক্রেতাদের মধ্যে ভালোভাবে সমর্থিত। এটি একটি সুরক্ষিত প্রোটোকল কারণ এটি SSL মানগুলির উত্তরসূরি৷ ক্লায়েন্ট সেট আপ করা বেশ জটিল। পাসওয়ার্ড ছাড়াও আপনার একটি ক্লায়েন্ট সার্টিফিকেট প্রয়োজন। অনেক সিস্টেমে সমর্থিত
EAP-TTLS - অনেক সিস্টেমে ব্যাপকভাবে সমর্থিত, শুধুমাত্র প্রমাণীকরণ সার্ভারে PKI সার্টিফিকেট ব্যবহার করে ভালো নিরাপত্তা প্রদান করে
EAP-MD5 আরেকটি উন্মুক্ত মান। ন্যূনতম নিরাপত্তা প্রদান করে। দুর্বল, পারস্পরিক প্রমাণীকরণ এবং কী প্রজন্মকে সমর্থন করে না
EAP-IKEv2 - ইন্টারনেট কী এক্সচেঞ্জ প্রোটোকল সংস্করণ 2 এর উপর ভিত্তি করে। ক্লায়েন্ট এবং সার্ভারের মধ্যে পারস্পরিক প্রমাণীকরণ এবং সেশন কী প্রতিষ্ঠা প্রদান করে
PEAP হল একটি ওপেন স্ট্যান্ডার্ড হিসাবে CISCO, Microsoft এবং RSA নিরাপত্তার যৌথ সমাধান। পণ্য ব্যাপকভাবে উপলব্ধ, খুব ভাল নিরাপত্তা প্রদান করে. EAP-TTLS এর মতো, সার্ভারের পাশে শুধুমাত্র একটি শংসাপত্র প্রয়োজন৷
PEAPv0/EAP-MSCHAPv2 - EAP-TLS-এর পরে, এটি বিশ্বের দ্বিতীয় বহুল ব্যবহৃত মান। Microsoft, Cisco, Apple, Linux-এ ব্যবহৃত ক্লায়েন্ট-সার্ভার সম্পর্ক
PEAPv1/EAP-GTC - Cisco দ্বারা PEAPv0/EAP-MSCHAPv2 এর বিকল্প হিসাবে তৈরি করা হয়েছে। কোনোভাবেই প্রমাণীকরণ ডেটা রক্ষা করে না। Windows OS এ সমর্থিত নয়
EAP-FAST হল LEAP-এর ত্রুটিগুলি সংশোধন করার জন্য Cisco দ্বারা উন্নত একটি কৌশল। সুরক্ষিত অ্যাক্সেস শংসাপত্র (PAC) ব্যবহার করে। সম্পূর্ণ অসমাপ্ত

এই সমস্ত বৈচিত্র্যের মধ্যে, পছন্দটি এখনও দুর্দান্ত নয়। প্রমাণীকরণ পদ্ধতির প্রয়োজন ছিল: ভাল নিরাপত্তা, সমস্ত ডিভাইসে সমর্থন (উইন্ডোজ 10, ম্যাকওএস, লিনাক্স, অ্যান্ড্রয়েড, আইওএস) এবং প্রকৃতপক্ষে, যত সহজ হবে তত ভাল। অতএব, PAP প্রোটোকলের সাথে একত্রে পছন্দটি EAP-TTLS-এ পড়েছে।
প্রশ্ন উঠতে পারে- কেন PAP ব্যবহার করবেন? কারণ তিনি পরিষ্কার পাসওয়ার্ড প্রেরণ করেন?

হ্যা, তা ঠিক. FreeRadius এবং FreeIPA এর মধ্যে যোগাযোগ এভাবেই ঘটবে। ডিবাগ মোডে, আপনি কীভাবে ব্যবহারকারীর নাম এবং পাসওয়ার্ড পাঠানো হয় তা ট্র্যাক করতে পারেন। হ্যাঁ, এবং তাদের যেতে দিন, শুধুমাত্র আপনারই FreeRadius সার্ভারে অ্যাক্সেস আছে।

আপনি EAP-TTLS এর কাজ সম্পর্কে আরও পড়তে পারেন এখানে

ফ্রিরেডিয়াস

CentOS 7.6 এ FreeRadius উত্থাপিত হবে। এখানে জটিল কিছু নেই, আমরা এটি স্বাভাবিক উপায়ে সেট করি।

yum install freeradius freeradius-utils freeradius-ldap -y

সংস্করণ 3.0.13 প্যাকেজ থেকে ইনস্টল করা হয়. পরেরটি নেওয়া যেতে পারে https://freeradius.org/

এর পরে, FreeRadius ইতিমধ্যে কাজ করছে। আপনি লাইনটিকে /etc/raddb/users-এ আনকমেন্ট করতে পারেন

steve   Cleartext-Password := "testing"

ডিবাগ মোডে সার্ভারে লঞ্চ করুন

freeradius -X

এবং স্থানীয় হোস্ট থেকে একটি পরীক্ষা সংযোগ করুন

radtest steve testing 127.0.0.1 1812 testing123

উত্তর পেয়েছি 115:127.0.0.1 থেকে 1812:127.0.0.1 দৈর্ঘ্য 56081 পর্যন্ত অ্যাক্সেস-গ্রহণযোগ্য আইডি 20 প্রাপ্ত হয়েছে, এর মানে সবকিছু ঠিক আছে। এগিয়ে যান.

আমরা মডিউল সংযোগ LDAP.

ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

এবং আমরা এখনই এটি পরিবর্তন করব। FreeIPA অ্যাক্সেস করতে সক্ষম হতে আমাদের FreeRadius প্রয়োজন

mods-সক্ষম/ldap

ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...

ব্যাসার্ধ সার্ভার পুনরায় চালু করুন এবং LDAP ব্যবহারকারীদের সিঙ্ক্রোনাইজেশন পরীক্ষা করুন:

radtest user_ldap password_ldap localhost 1812 testing123

এডিট করা হচ্ছে mods-সক্ষম/eap
এখানে আমরা eap এর দুটি উদাহরণ যোগ করি। তারা শুধুমাত্র সার্টিফিকেট এবং কী পার্থক্য হবে. নীচে আমি ব্যাখ্যা করব কেন এমন হয়।

mods-সক্ষম/eap

eap eap-client {                                                                                                                                                                                                                           default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_file = ${certdir}/fisrt.key
           certificate_file = ${certdir}/first.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}
eap eap-guest {
default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_passwotd=blablabla
           private_key_file = ${certdir}/server.key
           certificate_file = ${certdir}/server.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}

আরও সম্পাদনা সাইট-সক্ষম/ডিফল্ট. অনুমোদিত এবং প্রমাণীকরণ বিভাগগুলি আগ্রহের বিষয়।

সাইট-সক্ষম/ডিফল্ট

authorize {
  filter_username
  preprocess
  if (&User-Name == "guest") {
   eap-guest {
       ok = return
   }
  }
  elsif (&User-Name == "client") {
    eap-client {
       ok = return 
    }
  }
  else {
    eap-guest {
       ok = return
    }
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  logintime
  pap
  }

authenticate {
  Auth-Type LDAP {
    ldap
  }
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  pap
}

অনুমোদন বিভাগে, আমরা এমন সমস্ত মডিউল সরিয়ে ফেলি যা আমাদের প্রয়োজন নেই। আমরা শুধু ldap ছেড়ে. ব্যবহারকারীর নাম দ্বারা ক্লায়েন্ট যাচাইকরণ যোগ করুন। তাই আমরা উপরে eap এর দুটি উদাহরণ যোগ করেছি।

মাল্টি ইএপিআসল বিষয়টি হ'ল কিছু ডিভাইস সংযোগ করার সময়, আমরা সিস্টেম শংসাপত্র ব্যবহার করব এবং ডোমেনটি নির্দিষ্ট করব। আমাদের কাছে একটি বিশ্বস্ত শংসাপত্র কর্তৃপক্ষের কাছ থেকে একটি শংসাপত্র এবং একটি চাবি রয়েছে৷ ব্যক্তিগতভাবে, আমার মতে, প্রতিটি ডিভাইসে একটি স্ব-স্বাক্ষরিত শংসাপত্র নিক্ষেপ করার চেয়ে এই জাতীয় সংযোগ পদ্ধতি সহজ। কিন্তু এমনকি স্ব-স্বাক্ষরিত শংসাপত্র ছাড়া, এটি এখনও কাজ করেনি। Samsung ডিভাইস এবং Android =< 6 সংস্করণ সিস্টেম শংসাপত্র ব্যবহার করতে পারে না। অতএব, আমরা স্ব-স্বাক্ষরিত শংসাপত্র সহ তাদের জন্য eap-অতিথির একটি পৃথক উদাহরণ তৈরি করি। অন্যান্য সমস্ত ডিভাইসের জন্য, আমরা একটি বিশ্বস্ত শংসাপত্র সহ eap-ক্লায়েন্ট ব্যবহার করব। ব্যবহারকারী-নামটি বেনামী ক্ষেত্র দ্বারা নির্ধারিত হয় যখন ডিভাইসটি সংযুক্ত থাকে। শুধুমাত্র 3টি মান অনুমোদিত: অতিথি, ক্লায়েন্ট এবং একটি খালি ক্ষেত্র। বাকি সব বাতিল করা হয়. এটা রাজনীতিবিদদের মধ্যে কনফিগার করা হবে. আমি একটু পরে একটি উদাহরণ দেব।

এর মধ্যে অনুমোদিত এবং প্রমাণীকরণ বিভাগগুলি সম্পাদনা করি৷ সাইট-সক্ষম/ইনার-টানেল

সাইট-সক্ষম/ইনার-টানেল

authorize {
  filter_username
  filter_inner_identity
  update control {
   &Proxy-To-Realm := LOCAL
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  digest
  logintime
  pap
  }

authenticate {
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  Auth-Type PAP {
    pap
  }
  ldap
}

এরপরে, বেনামী লগইনের জন্য কোন নামগুলি ব্যবহার করা যেতে পারে সেই নীতিগুলিতে আপনাকে নির্দিষ্ট করতে হবে৷ সম্পাদনা policy.d/filter.

আপনাকে এর অনুরূপ লাইনগুলি খুঁজে বের করতে হবে:

if (&outer.request:User-Name !~ /^(anon|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

এবং নীচে elsif এ পছন্দসই মান যোগ করুন:

elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

এখন আমাদের ডিরেক্টরিতে যেতে হবে শংসাপত্র. এখানে আপনাকে একটি বিশ্বস্ত শংসাপত্র কর্তৃপক্ষের কাছ থেকে কী এবং শংসাপত্র রাখতে হবে, যা আমাদের ইতিমধ্যেই আছে এবং eap-অতিথির জন্য স্ব-স্বাক্ষরিত শংসাপত্র তৈরি করতে হবে৷

ফাইলের প্যারামিটার পরিবর্তন করুন ca.cnf.

ca.cnf


...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"

আমরা ফাইলে একই মান লিখি server.cnf. আমরা কেবল পরিবর্তন করি
সাধারণ নাম:

server.cnf


...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"

সৃষ্টি:

make

প্রস্তুত. গৃহীত server.crt и server.key আমরা ইতিমধ্যে ইএপি-গেস্টে উপরে নিবন্ধন করেছি।

এবং অবশেষে, ফাইলে আমাদের অ্যাক্সেস পয়েন্ট যোগ করা যাক ক্লায়েন্ট.কনফ. আমার কাছে তাদের মধ্যে 7টি রয়েছে। প্রতিটি পয়েন্ট আলাদাভাবে যোগ না করার জন্য, আমরা শুধুমাত্র সেই নেটওয়ার্কটি লিখব যেখানে তারা অবস্থিত (আমার অ্যাক্সেস পয়েন্টগুলি একটি পৃথক VLAN-এ রয়েছে)।

client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}

ইউবিকুইটি কন্ট্রোলার

আমরা কন্ট্রোলারে একটি পৃথক নেটওয়ার্ক বাড়াই। এটি 192.168.2.0/24 হতে দিন
সেটিংস -> প্রোফাইলে যান। আমরা একটি নতুন তৈরি করি:

আমরা ব্যাসার্ধ সার্ভারের ঠিকানা এবং পোর্ট লিখি এবং ফাইলটিতে যে পাসওয়ার্ডটি লেখা ছিল clients.conf:

একটি নতুন ওয়্যারলেস নেটওয়ার্ক নাম তৈরি করুন। প্রমাণীকরণ পদ্ধতি হিসাবে WPA-EAP (এন্টারপ্রাইজ) নির্বাচন করুন এবং তৈরি ব্যাসার্ধ প্রোফাইল নির্দিষ্ট করুন:

আমরা সবকিছু সংরক্ষণ করি, আবেদন করি এবং এগিয়ে যাই।

ক্লায়েন্ট সেট আপ করা

সবচেয়ে কঠিন দিয়ে শুরু করা যাক!

উইন্ডোজ 10

অসুবিধা হল যে উইন্ডোজ এখনও জানে না কিভাবে একটি ডোমেনের মাধ্যমে কর্পোরেট ওয়াইফাইয়ের সাথে সংযোগ করতে হয়৷ তাই, আমাদের ম্যানুয়ালি আমাদের সার্টিফিকেট বিশ্বস্ত সার্টিফিকেট স্টোরে আপলোড করতে হবে। এখানে আপনি স্ব-স্বাক্ষরিত এবং সার্টিফিকেশন কর্তৃপক্ষ থেকে উভয়ই ব্যবহার করতে পারেন। আমি দ্বিতীয়টি ব্যবহার করব।

এর পরে, আপনাকে একটি নতুন সংযোগ তৈরি করতে হবে। এটি করতে, নেটওয়ার্ক এবং ইন্টারনেট সেটিংসে যান -> নেটওয়ার্ক এবং শেয়ারিং সেন্টার -> একটি নতুন সংযোগ বা নেটওয়ার্ক তৈরি করুন এবং কনফিগার করুন:

ম্যানুয়ালি নেটওয়ার্কের নাম লিখুন এবং নিরাপত্তার ধরন পরিবর্তন করুন। আমরা ক্লিক করার পরে সংযোগ সেটিংস পরিবর্তন করুন এবং নিরাপত্তা ট্যাবে, নেটওয়ার্ক প্রমাণীকরণ নির্বাচন করুন - EAP-TTLS।

আমরা পরামিতিগুলিতে যাই, প্রমাণীকরণের গোপনীয়তা নির্ধারণ করি - মক্কেল. একটি বিশ্বস্ত শংসাপত্র কর্তৃপক্ষ হিসাবে, আমরা যে শংসাপত্রটি যোগ করেছি তা নির্বাচন করুন, "সার্ভার অনুমোদিত না হলে ব্যবহারকারীকে একটি আমন্ত্রণ ইস্যু করবেন না" বাক্সটি চেক করুন এবং প্রমাণীকরণ পদ্ধতি নির্বাচন করুন - এনক্রিপ্ট করা পাসওয়ার্ড (PAP)৷

এরপরে, উন্নত সেটিংসে যান, "প্রমাণকরণ মোড নির্দিষ্ট করুন" এ টিক দিন। "ব্যবহারকারী প্রমাণীকরণ" নির্বাচন করুন এবং ক্লিক করুন শংসাপত্র সংরক্ষণ করুন. এখানে আপনাকে username_ldap এবং password_ldap লিখতে হবে

আমরা সবকিছু সংরক্ষণ, আবেদন, বন্ধ. আপনি একটি নতুন নেটওয়ার্কে সংযোগ করতে পারেন৷

লিনাক্স

আমি উবুন্টু 18.04, 18.10, ফেডোরা 29, 30 এ পরীক্ষা করেছি।

প্রথমে, আসুন আমাদের সার্টিফিকেট ডাউনলোড করি। আমি লিনাক্সে খুঁজে পাইনি যে সিস্টেম শংসাপত্রগুলি ব্যবহার করা সম্ভব কিনা এবং এমন একটি স্টোর আদৌ আছে কিনা।

আসুন ডোমেনের সাথে সংযোগ করি। অতএব, আমাদের সার্টিফিকেশন কর্তৃপক্ষের কাছ থেকে একটি শংসাপত্র প্রয়োজন যেখান থেকে আমাদের শংসাপত্র কেনা হয়েছে।

সমস্ত সংযোগ একটি উইন্ডোতে তৈরি করা হয়। আমাদের নেটওয়ার্ক নির্বাচন করা হচ্ছে:

বেনামী-ক্লায়েন্ট
ডোমেইন - যে ডোমেনের জন্য শংসাপত্র জারি করা হয়

অ্যান্ড্রয়েড

নন-স্যামসাং

সংস্করণ 7 থেকে, ওয়াইফাই সংযোগ করার সময়, আপনি শুধুমাত্র ডোমেন নির্দিষ্ট করে সিস্টেম শংসাপত্র ব্যবহার করতে পারেন:

ডোমেইন - যে ডোমেনের জন্য শংসাপত্র জারি করা হয়
বেনামী-ক্লায়েন্ট

স্যামসাং

যেমনটি আমি উপরে লিখেছি, স্যামসাং ডিভাইসগুলি ওয়াইফাই সংযোগ করার সময় সিস্টেম শংসাপত্রগুলি কীভাবে ব্যবহার করতে হয় তা জানে না এবং তাদের একটি ডোমেনের মাধ্যমে সংযোগ করার ক্ষমতা নেই। অতএব, আপনাকে অবশ্যই শংসাপত্র কর্তৃপক্ষের মূল শংসাপত্রটি ম্যানুয়ালি যুক্ত করতে হবে (ca.pem, আমরা এটিকে ব্যাসার্ধ সার্ভারে নিয়েছি)। এখানে স্ব-স্বাক্ষরিত ব্যবহার করা হবে।

আপনার ডিভাইসে শংসাপত্রটি ডাউনলোড করুন এবং এটি ইনস্টল করুন।

সার্টিফিকেট ইনস্টলেশন

একই সময়ে, আপনাকে স্ক্রিন আনলক প্যাটার্ন, পিন কোড বা পাসওয়ার্ড সেট করতে হবে, যদি এটি ইতিমধ্যে সেট করা না থাকে:

আমি একটি শংসাপত্র ইনস্টল করার একটি জটিল সংস্করণ দেখিয়েছি। বেশিরভাগ ডিভাইসে, ডাউনলোড করা শংসাপত্রে ক্লিক করুন।

শংসাপত্রটি ইনস্টল করা হলে, আপনি সংযোগে এগিয়ে যেতে পারেন:

শংসাপত্র - যেটি ইনস্টল করা হয়েছিল তা নির্দেশ করুন
বেনামী ব্যবহারকারী - অতিথি

MacOS

বাক্সের বাইরে থাকা Apple ডিভাইসগুলি শুধুমাত্র EAP-TLS-এর সাথে সংযোগ করতে পারে, তবে আপনাকে এখনও তাদের কাছে একটি শংসাপত্র নিক্ষেপ করতে হবে৷ একটি ভিন্ন সংযোগ পদ্ধতি নির্দিষ্ট করতে, আপনাকে Apple Configurator 2 ব্যবহার করতে হবে। সেই অনুযায়ী, আপনাকে প্রথমে এটি আপনার Mac এ ডাউনলোড করতে হবে, একটি নতুন প্রোফাইল তৈরি করতে হবে এবং সমস্ত প্রয়োজনীয় ওয়াইফাই সেটিংস যোগ করতে হবে।

আপেল কনফিগারার

এখানে আপনার নেটওয়ার্ক নাম লিখুন
নিরাপত্তা প্রকার - WPA2 এন্টারপ্রাইজ
স্বীকৃত EAP প্রকার - TTLS
ব্যবহারকারীর নাম এবং পাসওয়ার্ড - খালি ছেড়ে দিন
অভ্যন্তরীণ প্রমাণীকরণ - PAP
বাহ্যিক পরিচয়-ক্লায়েন্ট

ট্রাস্ট ট্যাব। এখানে আমরা আমাদের ডোমেইন নির্দিষ্ট করি

সব প্রোফাইলটি সংরক্ষণ, স্বাক্ষরিত এবং ডিভাইসে বিতরণ করা যেতে পারে

প্রোফাইল প্রস্তুত হওয়ার পরে, আপনাকে এটি পপিতে ডাউনলোড করতে হবে এবং এটি ইনস্টল করতে হবে। ইনস্টলেশন প্রক্রিয়া চলাকালীন, আপনাকে ব্যবহারকারীর usernmae_ldap এবং password_ldap নির্দিষ্ট করতে হবে:

আইওএস

প্রক্রিয়াটি macOS এর মতো। আপনাকে একটি প্রোফাইল ব্যবহার করতে হবে (আপনি ম্যাকওএসের মতো একই ব্যবহার করতে পারেন। অ্যাপল কনফিগারেটে কীভাবে প্রোফাইল তৈরি করবেন, উপরে দেখুন)।

প্রোফাইল ডাউনলোড করুন, ইনস্টল করুন, শংসাপত্র লিখুন, সংযোগ করুন:

এখানেই শেষ. আমরা একটি ব্যাসার্ধ সার্ভার সেট আপ করেছি, এটিকে FreeIPA-এর সাথে সিঙ্ক করেছি এবং Ubiquiti AP-কে WPA2-EAP ব্যবহার করতে বলেছি।

সম্ভাব্য প্রশ্ন

ভিতরে: কিভাবে একজন কর্মচারীর কাছে একটি প্রোফাইল/শংসাপত্র স্থানান্তর করবেন?

সম্পর্কিত: আমি ওয়েব অ্যাক্সেস সহ এফটিপি-তে সমস্ত শংসাপত্র/প্রোফাইল সংরক্ষণ করি। এফটিপি ব্যতীত শুধুমাত্র ইন্টারনেটে একটি গতি সীমা এবং অ্যাক্সেস সহ একটি অতিথি নেটওয়ার্ক উত্থাপন করেছে৷
প্রমাণীকরণ 2 দিনের জন্য স্থায়ী হয়, তারপরে এটি পুনরায় সেট করা হয় এবং ক্লায়েন্টকে ইন্টারনেট ছাড়াই ছেড়ে দেওয়া হয়। যে. যখন একজন কর্মচারী ওয়াইফাই-এর সাথে সংযোগ করতে চায়, তখন সে প্রথমে গেস্ট নেটওয়ার্কের সাথে সংযোগ করে, FTP অ্যাক্সেস করে, তার প্রয়োজনীয় সার্টিফিকেট বা প্রোফাইল ডাউনলোড করে, এটি ইনস্টল করে এবং তারপর কর্পোরেট নেটওয়ার্কের সাথে সংযোগ করতে পারে।

ভিতরে: কেন MSCHAPv2 এর সাথে স্কিমা ব্যবহার করবেন না? সে নিরাপদ!

সম্পর্কিত: প্রথমত, এই ধরনের একটি স্কিম NPS (উইন্ডোজ নেটওয়ার্ক পলিসি সিস্টেম) এ ভাল কাজ করে, আমাদের বাস্তবায়নে অতিরিক্তভাবে LDAP (FreeIpa) কনফিগার করা এবং সার্ভারে পাসওয়ার্ড হ্যাশ সংরক্ষণ করা প্রয়োজন। যোগ করুন। সেটিংস করা যুক্তিযুক্ত নয়, কারণ। এটি আল্ট্রাসাউন্ড সিঙ্ক্রোনাইজ করার বিভিন্ন সমস্যা হতে পারে। দ্বিতীয়ত, হ্যাশ হল MD4, তাই এটি বেশি নিরাপত্তা যোগ করে না।

ভিতরে: ম্যাক-ঠিকানা দ্বারা ডিভাইস অনুমোদন করা সম্ভব?

সম্পর্কিত: না, এটি নিরাপদ নয়, একজন আক্রমণকারী MAC ঠিকানা পরিবর্তন করতে পারে, এবং আরও বেশি তাই MAC ঠিকানার অনুমোদন অনেক ডিভাইসে সমর্থিত নয়

ভিতরে: সাধারণত এই সমস্ত সার্টিফিকেটের জন্য কি ব্যবহার করা যায়? আপনি তাদের ছাড়া যোগদান করতে পারেন?

সম্পর্কিত: সার্ভার অনুমোদন করতে সার্টিফিকেট ব্যবহার করা হয়। সেগুলো. সংযোগ করার সময়, ডিভাইসটি পরীক্ষা করে যে এটি এমন একটি সার্ভার যা বিশ্বাস করা যায় কি না। যদি তা হয়, তাহলে প্রমাণীকরণ চলে, যদি না হয়, সংযোগ বন্ধ। আপনি শংসাপত্র ছাড়াই সংযোগ করতে পারেন, তবে যদি কোনও আক্রমণকারী বা প্রতিবেশী বাড়িতে আমাদের মতো একই নামের একটি ব্যাসার্ধ সার্ভার এবং একটি অ্যাক্সেস পয়েন্ট সেট আপ করে, তবে সে সহজেই ব্যবহারকারীর শংসাপত্রগুলি আটকাতে পারে (ভুলে যাবেন না যে সেগুলি পরিষ্কার পাঠ্যে প্রেরণ করা হয়েছে)৷ এবং যখন একটি শংসাপত্র ব্যবহার করা হয়, তখন শত্রু তার লগগুলিতে কেবল আমাদের কাল্পনিক ব্যবহারকারীর নাম দেখতে পাবে - অতিথি বা ক্লায়েন্ট এবং একটি টাইপ ত্রুটি - অজানা CA সার্টিফিকেট

macOS সম্পর্কে একটু বেশিসাধারণত macOS-এ, সিস্টেমটি পুনরায় ইনস্টল করা ইন্টারনেটের মাধ্যমে সম্পন্ন হয়। পুনরুদ্ধার মোডে, ম্যাককে অবশ্যই ওয়াইফাইয়ের সাথে সংযুক্ত থাকতে হবে এবং আমাদের কর্পোরেট ওয়াইফাই বা অতিথি নেটওয়ার্ক এখানে কাজ করবে না৷ ব্যক্তিগতভাবে, আমি আরেকটি নেটওয়ার্ক উত্থাপন করেছি, সাধারণ WPA2-PSK, লুকানো, শুধুমাত্র প্রযুক্তিগত ক্রিয়াকলাপের জন্য। অথবা আপনি এখনও সিস্টেমের সাথে আগাম একটি বুটযোগ্য USB ফ্ল্যাশ ড্রাইভ তৈরি করতে পারেন। কিন্তু পপি যদি 2015 এর পরে হয় তবে আপনাকে এখনও এই ফ্ল্যাশ ড্রাইভের জন্য একটি অ্যাডাপ্টার খুঁজতে হবে)

উত্স: www.habr.com

ওয়াইফাই এন্টারপ্রাইজ। FreeRadius + FreeIPA + Ubiquiti