Μερικά παραδείγματα οργάνωσης εταιρικού WiFi έχουν ήδη περιγραφεί. Εδώ θα περιγράψω πώς εφάρμοσα μια τέτοια λύση και τα προβλήματα που αντιμετώπισα κατά τη σύνδεση σε διαφορετικές συσκευές. Θα χρησιμοποιήσουμε το υπάρχον LDAP με καθιερωμένους χρήστες, θα εγκαταστήσουμε το FreeRadius και θα διαμορφώσουμε το WPA2-Enterprise στον ελεγκτή Ubnt. Όλα φαίνονται απλά. Ας δούμε…
Λίγα λόγια για τις μεθόδους EAP
Πριν ξεκινήσουμε την εργασία, πρέπει να αποφασίσουμε ποια μέθοδο ελέγχου ταυτότητας θα χρησιμοποιήσουμε στη λύση μας.
Από τη Βικιπαίδεια:
Το EAP είναι ένα πλαίσιο ελέγχου ταυτότητας που χρησιμοποιείται συχνά σε ασύρματα δίκτυα και συνδέσεις από σημείο σε σημείο. Η μορφή περιγράφηκε για πρώτη φορά στο RFC 3748 και ενημερώθηκε στο RFC 5247.
Το EAP χρησιμοποιείται για την επιλογή μιας μεθόδου ελέγχου ταυτότητας, τη διέλευση κλειδιών και την επεξεργασία αυτών των κλειδιών με πρόσθετα που ονομάζονται μέθοδοι EAP. Υπάρχουν πολλές μέθοδοι EAP, που ορίζονται με το ίδιο το EAP και κυκλοφορούν από μεμονωμένους προμηθευτές. Το EAP δεν καθορίζει το επίπεδο σύνδεσης, ορίζει μόνο τη μορφή του μηνύματος. Κάθε πρωτόκολλο που χρησιμοποιεί EAP έχει το δικό του πρωτόκολλο ενθυλάκωσης μηνυμάτων EAP.
Οι ίδιες οι μέθοδοι:
- Το LEAP είναι ένα ιδιόκτητο πρωτόκολλο που αναπτύχθηκε από τη CISCO. Βρέθηκαν τρωτά σημεία. Προς το παρόν δεν συνιστάται η χρήση
- Το EAP-TLS υποστηρίζεται καλά από τους προμηθευτές ασύρματων δικτύων. Είναι ένα ασφαλές πρωτόκολλο επειδή είναι ο διάδοχος των προτύπων SSL. Η ρύθμιση του πελάτη είναι αρκετά περίπλοκη. Χρειάζεστε ένα πιστοποιητικό πελάτη εκτός από τον κωδικό πρόσβασης. Υποστηρίζεται σε πολλά συστήματα
- EAP-TTLS - υποστηρίζεται ευρέως σε πολλά συστήματα, προσφέρει καλή ασφάλεια χρησιμοποιώντας πιστοποιητικά PKI μόνο στον διακομιστή ελέγχου ταυτότητας
- Το EAP-MD5 είναι ένα άλλο ανοιχτό πρότυπο. Προσφέρει ελάχιστη ασφάλεια. Ευάλωτο, δεν υποστηρίζει αμοιβαίο έλεγχο ταυτότητας και δημιουργία κλειδιού
- EAP-IKEv2 - βασίζεται στο Πρωτόκολλο ανταλλαγής κλειδιών Internet έκδοση 2. Παρέχει αμοιβαίο έλεγχο ταυτότητας και δημιουργία κλειδιού περιόδου λειτουργίας μεταξύ πελάτη και διακομιστή
- Το PEAP είναι μια κοινή λύση των CISCO, Microsoft και RSA Security ως ανοιχτό πρότυπο. Ευρέως διαθέσιμο σε προϊόντα, παρέχει πολύ καλή ασφάλεια. Παρόμοιο με το EAP-TTLS, που απαιτεί μόνο πιστοποιητικό από την πλευρά του διακομιστή
- PEAPv0/EAP-MSCHAPv2 - μετά το EAP-TLS, αυτό είναι το δεύτερο ευρέως χρησιμοποιούμενο πρότυπο στον κόσμο. Χρησιμοποιημένη σχέση πελάτη-διακομιστή σε Microsoft, Cisco, Apple, Linux
- PEAPv1/EAP-GTC - Δημιουργήθηκε από τη Cisco ως εναλλακτική λύση στο PEAPv0/EAP-MSCHAPv2. Δεν προστατεύει τα δεδομένα ελέγχου ταυτότητας με κανέναν τρόπο. Δεν υποστηρίζεται σε λειτουργικό σύστημα Windows
- Το EAP-FAST είναι μια τεχνική που αναπτύχθηκε από τη Cisco για τη διόρθωση των αδυναμιών του LEAP. Χρησιμοποιεί προστατευμένο διαπιστευτήριο πρόσβασης (PAC). Εντελώς ημιτελές
Από όλη αυτή την ποικιλία, η επιλογή εξακολουθεί να μην είναι μεγάλη. Η μέθοδος ελέγχου ταυτότητας που απαιτείται: καλή ασφάλεια, υποστήριξη σε όλες τις συσκευές (Windows 10, macOS, Linux, Android, iOS) και, μάλιστα, όσο πιο απλό τόσο το καλύτερο. Επομένως, η επιλογή έπεσε στο EAP-TTLS σε συνδυασμό με το πρωτόκολλο PAP.
Μπορεί να προκύψει το ερώτημα - Γιατί να χρησιμοποιήσετε το PAP; επειδή μεταδίδει κωδικούς πρόσβασης στο σαφές;
Ναι, σωστά. Η επικοινωνία μεταξύ FreeRadius και FreeIPA θα γίνει ακριβώς έτσι. Στη λειτουργία εντοπισμού σφαλμάτων, μπορείτε να παρακολουθείτε τον τρόπο αποστολής του ονόματος χρήστη και του κωδικού πρόσβασης. Ναι, και αφήστε τους να φύγουν, μόνο εσείς έχετε πρόσβαση στον διακομιστή FreeRadius.
Μπορείτε να διαβάσετε περισσότερα για το πώς λειτουργεί το EAP-TTLS
FreeRADIUS
Θα αναβαθμίσουμε το FreeRadius σε CentOS 7.6. Δεν υπάρχει τίποτα περίπλοκο εδώ, το εγκαθιστούμε με τον συνηθισμένο τρόπο.
yum install freeradius freeradius-utils freeradius-ldap -yΗ έκδοση 3.0.13 εγκαθίσταται από τα πακέτα. Το τελευταίο μπορεί να ληφθεί στο
Μετά από αυτό, το FreeRadius λειτουργεί ήδη. Μπορείτε να αποσχολιάσετε τη γραμμή στο /etc/raddb/users
steve Cleartext-Password := "testing"Εκκίνηση στον διακομιστή σε λειτουργία εντοπισμού σφαλμάτων
freeradius -XΚαι κάντε μια δοκιμαστική σύνδεση από τον localhost
radtest steve testing 127.0.0.1 1812 testing123Λάβαμε απάντηση Λήφθηκε αναγνωριστικό πρόσβασης-Αποδοχή 115 από 127.0.0.1:1812 έως 127.0.0.1:56081 μήκος 20, σημαίνει ότι όλα είναι εντάξει. Προχώρα.
Σύνδεση της μονάδας ldap.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldapΚαι θα το αλλάξουμε αμέσως. Χρειαζόμαστε το FreeRadius για να έχουμε πρόσβαση στο FreeIPA
mods-enabled/ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...Επανεκκινήστε τον διακομιστή ακτίνας και ελέγξτε τον συγχρονισμό των χρηστών LDAP:
radtest user_ldap password_ldap localhost 1812 testing123
Επεξεργασία eap in mods-enabled/eap
Εδώ προσθέτουμε δύο περιπτώσεις eap. Θα διαφέρουν μόνο σε πιστοποιητικά και κλειδιά. Παρακάτω θα εξηγήσω γιατί συμβαίνει αυτό.
mods-enabled/eap
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}Στη συνέχεια κάνουμε επεξεργασία ενεργοποιημένη/προεπιλεγμένη τοποθεσία. Ενδιαφέρομαι για τις ενότητες εξουσιοδότησης και ελέγχου ταυτότητας.
ενεργοποιημένη/προεπιλεγμένη τοποθεσία
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}Στην ενότητα εξουσιοδότηση, αφαιρούμε όλες τις ενότητες που δεν χρειαζόμαστε. Αφήνουμε μόνο ldap. Προσθήκη επαλήθευσης πελάτη με όνομα χρήστη. Γι' αυτό προσθέσαμε δύο περιπτώσεις eap παραπάνω.
Multi EAPΤο γεγονός είναι ότι κατά τη σύνδεση ορισμένων συσκευών θα χρησιμοποιήσουμε πιστοποιητικά συστήματος και θα καθορίσουμε τον τομέα. Έχουμε πιστοποιητικό και κλειδί από μια αξιόπιστη αρχή έκδοσης πιστοποιητικών. Προσωπικά, κατά τη γνώμη μου, αυτή η διαδικασία σύνδεσης είναι πιο απλή από το να ρίχνεις ένα αυτουπογεγραμμένο πιστοποιητικό σε κάθε συσκευή. Αλλά ακόμη και χωρίς αυτο-υπογεγραμμένα πιστοποιητικά, δεν ήταν δυνατή η αποχώρηση. Οι συσκευές Samsung και οι εκδόσεις Android =< 6 δεν γνωρίζουν πώς να χρησιμοποιούν πιστοποιητικά συστήματος. Επομένως, δημιουργούμε μια ξεχωριστή παρουσία του eap-guest για αυτούς με αυτουπογεγραμμένα πιστοποιητικά. Για όλες τις άλλες συσκευές θα χρησιμοποιήσουμε το eap-client με αξιόπιστο πιστοποιητικό. Το όνομα χρήστη καθορίζεται από το πεδίο Ανώνυμος κατά τη σύνδεση της συσκευής. Επιτρέπονται μόνο 3 τιμές: Επισκέπτης, Πελάτης και ένα κενό πεδίο. Όλα τα υπόλοιπα απορρίπτονται. Αυτό μπορεί να ρυθμιστεί στις πολιτικές. Θα δώσω ένα παράδειγμα λίγο αργότερα.
Ας επεξεργαστούμε τις ενότητες εξουσιοδότησης και ελέγχου ταυτότητας ενεργοποιημένη τοποθεσία/εσωτερική σήραγγα
ενεργοποιημένη τοποθεσία/εσωτερική σήραγγα
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}Στη συνέχεια, πρέπει να καθορίσετε στις πολιτικές ποια ονόματα μπορούν να χρησιμοποιηθούν για ανώνυμη σύνδεση. Επεξεργασία πολιτική.d/filter.
Πρέπει να βρείτε γραμμές παρόμοιες με αυτό:
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Και παρακάτω στο elif προσθέστε τις επιθυμητές τιμές:
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Τώρα πρέπει να μεταβούμε στον κατάλογο πιστοποιητικά. Εδώ πρέπει να βάλουμε το κλειδί και το πιστοποιητικό από μια αξιόπιστη αρχή πιστοποίησης, που έχουμε ήδη, και πρέπει να δημιουργήσουμε αυτο-υπογεγραμμένα πιστοποιητικά για το eap-guest.
Αλλάξτε τις παραμέτρους στο αρχείο ca.cnf.
ca.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"Γράφουμε τις ίδιες τιμές στο αρχείο server.cnf. Αλλάζουμε μόνο
συνηθισμένο όνομα:
server.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"Δημιουργώ:
makeΕτοιμος. Ελήφθη server.crt и κλειδί διακομιστή Έχουμε ήδη εγγραφεί παραπάνω στο eap-guest.
Και τέλος, ας προσθέσουμε τα σημεία πρόσβασής μας στο αρχείο πελάτης.conf. Έχω 7. Για να μην προσθέσουμε κάθε σημείο ξεχωριστά, θα καταχωρήσουμε μόνο το δίκτυο στο οποίο βρίσκονται (τα σημεία πρόσβασης μου βρίσκονται σε ξεχωριστό VLAN).
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}Ελεγκτής Ubiquiti
Ανυψώνουμε ένα ξεχωριστό δίκτυο στον ελεγκτή. Ας είναι 192.168.2.0/24
Μεταβείτε στις ρυθμίσεις -> προφίλ. Ας δημιουργήσουμε ένα νέο:
Γράφουμε τη διεύθυνση και τη θύρα του διακομιστή radius και τον κωδικό πρόσβασης που γράφτηκε στο αρχείο πελάτες.conf:
Δημιουργήστε ένα νέο όνομα ασύρματου δικτύου. Επιλέξτε WPA-EAP (Enterprise) ως μέθοδο ελέγχου ταυτότητας και καθορίστε το προφίλ ακτίνας που δημιουργήθηκε:
Τα αποθηκεύουμε όλα, τα εφαρμόζουμε και προχωράμε.
Ρύθμιση πελατών
Ας ξεκινήσουμε από τα πιο δύσκολα!
Windows 10
Η δυσκολία έγκειται στο γεγονός ότι τα Windows δεν γνωρίζουν ακόμη πώς να συνδεθούν στο εταιρικό WiFi μέσω ενός τομέα. Επομένως, πρέπει να ανεβάσουμε μη αυτόματα το πιστοποιητικό μας στο αξιόπιστο κατάστημα πιστοποιητικών. Εδώ μπορείτε να χρησιμοποιήσετε τόσο αυτο-υπογεγραμμένα όσο και από την αρχή πιστοποίησης. Θα χρησιμοποιήσω το δεύτερο.
Στη συνέχεια, πρέπει να δημιουργήσετε μια νέα σύνδεση. Για να το κάνετε αυτό, μεταβείτε στις ρυθμίσεις δικτύου και Διαδικτύου -> Κέντρο δικτύου και κοινής χρήσης -> Δημιουργία και διαμόρφωση μιας νέας σύνδεσης ή δικτύου:
Εισαγάγετε μη αυτόματα το όνομα δικτύου και αλλάξτε τον τύπο ασφάλειας. Στη συνέχεια κάντε κλικ στο αλλάξτε τις ρυθμίσεις σύνδεσης και στην καρτέλα Ασφάλεια, επιλέξτε έλεγχος ταυτότητας δικτύου - EAP-TTLS.
Πηγαίνουμε στις παραμέτρους, ορίζουμε την εμπιστευτικότητα του ελέγχου ταυτότητας - πελάτης. Ως αξιόπιστη αρχή πιστοποίησης, επιλέξτε το πιστοποιητικό που προσθέσαμε, επιλέξτε το πλαίσιο "Να μην εκδίδεται πρόσκληση στον χρήστη εάν ο διακομιστής δεν μπορεί να εξουσιοδοτηθεί" και επιλέξτε τη μέθοδο ελέγχου ταυτότητας - μη κρυπτογραφημένος κωδικός πρόσβασης (PAP).
Στη συνέχεια, μεταβείτε στις ρυθμίσεις για προχωρημένους, βάλτε ένα σημάδι στο "Καθορίστε τη λειτουργία ελέγχου ταυτότητας". Επιλέξτε "User Authentication" και κάντε κλικ στο αποθήκευση διαπιστευτηρίων. Εδώ θα χρειαστεί να εισαγάγετε username_ldap και password_ldap
Αποθηκεύουμε τα πάντα, εφαρμόζουμε, κλείνουμε. Μπορείτε να συνδεθείτε σε ένα νέο δίκτυο.
Linux
Δοκίμασα σε Ubuntu 18.04, 18.10, Fedora 29, 30.
Αρχικά, ας κατεβάσουμε το πιστοποιητικό μας. Δεν βρήκα στο Linux αν είναι δυνατή η χρήση πιστοποιητικών συστήματος και αν υπάρχει καθόλου τέτοιο κατάστημα.
Ας συνδεθούμε στον τομέα. Επομένως, χρειαζόμαστε πιστοποιητικό από την αρχή πιστοποίησης από την οποία αγοράστηκε το πιστοποιητικό μας.
Όλες οι συνδέσεις γίνονται σε ένα παράθυρο. Επιλέγοντας το δίκτυό μας:
ανώνυμος - πελάτης
τομέας — ο τομέας για τον οποίο εκδόθηκε το πιστοποιητικό
Android
μη Samsung
Από την έκδοση 7, κατά τη σύνδεση WiFi, μπορείτε να χρησιμοποιήσετε πιστοποιητικά συστήματος καθορίζοντας μόνο τον τομέα:
τομέας — ο τομέας για τον οποίο εκδόθηκε το πιστοποιητικό
ανώνυμος - πελάτης
Samsung
Όπως έγραψα παραπάνω, οι συσκευές Samsung δεν γνωρίζουν πώς να χρησιμοποιούν τα πιστοποιητικά συστήματος κατά τη σύνδεση σε WiFi και δεν έχουν τη δυνατότητα σύνδεσης μέσω τομέα. Επομένως, πρέπει να προσθέσετε μη αυτόματα το ριζικό πιστοποιητικό της αρχής πιστοποίησης (ca.pem, το μεταφέρουμε στον διακομιστή Radius). Εδώ θα χρησιμοποιηθεί η αυτο-υπογραφή.
Κατεβάστε το πιστοποιητικό στη συσκευή σας και εγκαταστήστε το.
Εγκατάσταση πιστοποιητικού
Σε αυτήν την περίπτωση, θα χρειαστεί να ορίσετε ένα μοτίβο ξεκλειδώματος οθόνης, έναν κωδικό PIN ή έναν κωδικό πρόσβασης, εάν δεν έχει ήδη οριστεί:
Έδειξα μια περίπλοκη έκδοση εγκατάστασης πιστοποιητικού. Στις περισσότερες συσκευές, απλώς κάντε κλικ στο πιστοποιητικό που έχετε λάβει.
Όταν εγκατασταθεί το πιστοποιητικό, μπορείτε να προχωρήσετε στη σύνδεση:
πιστοποιητικό - υποδείξτε αυτό που εγκαταστάθηκε
ανώνυμος χρήστης - επισκέπτης
macOS
Οι συσκευές Apple μπορούν να συνδεθούν στο EAP-TLS μόνο από το κουτί, αλλά πρέπει να τους παρέχετε ένα πιστοποιητικό. Για να καθορίσετε διαφορετική μέθοδο σύνδεσης, πρέπει να χρησιμοποιήσετε το Apple Configurator 2. Συνεπώς, πρέπει πρώτα να το κατεβάσετε στο Mac σας, να δημιουργήσετε ένα νέο προφίλ και να προσθέσετε όλες τις απαραίτητες ρυθμίσεις WiFi.
Διαμορφωτής της Apple
Εδώ αναφέρουμε το όνομα του δικτύου μας
Τύπος ασφαλείας - WPA2 Enterprise
Αποδεκτοί τύποι EAP - TTLS
Όνομα χρήστη και κωδικός πρόσβασης - αφήστε κενό
Εσωτερικός έλεγχος ταυτότητας - PAP
Εξωτερική Ταυτότητα-πελάτης
Καρτέλα εμπιστοσύνης. Εδώ υποδεικνύουμε τον τομέα μας
Ολα. Το προφίλ μπορεί να αποθηκευτεί, να υπογραφεί και να διανεμηθεί σε συσκευές
Αφού το προφίλ είναι έτοιμο, πρέπει να το κατεβάσετε στο poppy και να το εγκαταστήσετε. Κατά τη διαδικασία εγκατάστασης, θα χρειαστεί να καθορίσετε τα usernmae_ldap και password_ldap του χρήστη:
iOS
Η διαδικασία είναι παρόμοια με το macOS. Πρέπει να χρησιμοποιήσετε ένα προφίλ (μπορείτε να χρησιμοποιήσετε το ίδιο με το macOS. Πώς να δημιουργήσετε ένα προφίλ στο Apple Configurator, δείτε παραπάνω).
Λήψη προφίλ, εγκατάσταση, εισαγωγή διαπιστευτηρίων, σύνδεση:
Αυτό είναι όλο. Ρυθμίσαμε τον διακομιστή Radius, τον συγχρονίσαμε με το FreeIPA και είπαμε στα σημεία πρόσβασης της Ubiquiti να χρησιμοποιήσουν το WPA2-EAP.
Πιθανές ερωτήσεις
ΣΤΟ: πώς να μεταφέρω ένα προφίλ/πιστοποιητικό σε έναν υπάλληλο;
Σχετικά με: Αποθηκεύω όλα τα πιστοποιητικά/προφίλ σε FTP με πρόσβαση μέσω web. Έχω δημιουργήσει ένα δίκτυο επισκεπτών με όριο ταχύτητας και πρόσβαση μόνο στο Διαδίκτυο, με εξαίρεση το FTP.
Ο έλεγχος ταυτότητας διαρκεί 2 ημέρες, μετά από τις οποίες γίνεται επαναφορά και ο πελάτης μένει χωρίς Διαδίκτυο. Οτι. όταν ένας υπάλληλος θέλει να συνδεθεί στο WiFi, συνδέεται πρώτα στο δίκτυο επισκεπτών, αποκτά πρόσβαση στο FTP, κατεβάζει το πιστοποιητικό ή το προφίλ που χρειάζεται, το εγκαθιστά και στη συνέχεια μπορεί να συνδεθεί στο εταιρικό δίκτυο.
ΣΤΟ: γιατί να μην χρησιμοποιήσετε το σχήμα με το MSCHAPv2; είναι πιο ασφαλές!
Σχετικά με: Πρώτον, αυτό το σχήμα λειτουργεί καλά στο NPS (σύστημα πολιτικής δικτύου των Windows), κατά την εφαρμογή μας είναι απαραίτητο να διαμορφώσουμε επιπλέον το LDAP (FreeIpa) και να αποθηκεύσουμε κατακερματισμούς κωδικών πρόσβασης στον διακομιστή. Προσθήκη. Δεν συνιστάται να κάνετε ρυθμίσεις, γιατί Αυτό μπορεί να οδηγήσει σε διάφορα προβλήματα με το συγχρονισμό του συστήματος υπερήχων. Δεύτερον, το hash είναι MD4, οπότε δεν προσθέτει μεγάλη ασφάλεια
ΣΤΟ: είναι δυνατή η εξουσιοδότηση συσκευών με διευθύνσεις mac;
Σχετικά με: ΟΧΙ, αυτό δεν είναι ασφαλές, ένας εισβολέας μπορεί να αλλάξει διευθύνσεις MAC και ακόμη περισσότερο η εξουσιοδότηση από διευθύνσεις MAC δεν υποστηρίζεται σε πολλές συσκευές
ΣΤΟ: τι να χρησιμοποιήσω γενικά όλα αυτά τα πιστοποιητικά; μπορείτε να συμμετάσχετε χωρίς αυτούς;
Σχετικά με: Τα πιστοποιητικά χρησιμοποιούνται για την εξουσιοδότηση του διακομιστή. Εκείνοι. κατά τη σύνδεση, η συσκευή ελέγχει εάν είναι αξιόπιστος διακομιστής ή όχι. Εάν είναι, τότε ο έλεγχος ταυτότητας συνεχίζεται, εάν όχι, η σύνδεση είναι κλειστή. Μπορείτε να συνδεθείτε χωρίς πιστοποιητικά, αλλά εάν ένας εισβολέας ή ένας γείτονας δημιουργήσει έναν διακομιστή ακτίνας και ένα σημείο πρόσβασης με το ίδιο όνομα με το δικό μας στο σπίτι, μπορεί εύκολα να υποκλέψει τα διαπιστευτήρια του χρήστη (μην ξεχνάτε ότι μεταδίδονται σε καθαρό κείμενο). Και όταν χρησιμοποιείται ένα πιστοποιητικό, ο εχθρός θα βλέπει στα αρχεία καταγραφής του μόνο το εικονικό μας όνομα χρήστη - επισκέπτης ή πελάτη και ένα σφάλμα τύπου - Άγνωστο πιστοποιητικό CA
λίγα περισσότερα για το macOSΣυνήθως, στο macOS, η επανεγκατάσταση του συστήματος γίνεται μέσω Διαδικτύου. Στη λειτουργία ανάκτησης, το Mac πρέπει να είναι συνδεδεμένο σε WiFi και ούτε το εταιρικό μας WiFi ούτε το δίκτυο επισκεπτών θα λειτουργούν εδώ. Προσωπικά, εγκατέστησα ένα άλλο δίκτυο, το συνηθισμένο WPA2-PSK, κρυφό, μόνο για τεχνικές λειτουργίες. Ή μπορείτε επίσης να δημιουργήσετε μια μονάδα flash USB με δυνατότητα εκκίνησης με το σύστημα εκ των προτέρων. Αλλά εάν το Mac σας είναι μετά το 2015, θα χρειαστεί επίσης να βρείτε έναν προσαρμογέα για αυτήν τη μονάδα flash)
Πηγή: www.habr.com