🥇 વાઇફાઇ એન્ટરપ્રાઇઝ. FreeRadius + FreeIPA + Ubiquiti

કોર્પોરેટ વાઇફાઇના આયોજનના કેટલાક ઉદાહરણો પહેલાથી જ વર્ણવવામાં આવ્યા છે. અહીં હું વર્ણન કરીશ કે મેં એક સમાન ઉકેલ કેવી રીતે અમલમાં મૂક્યો અને વિવિધ ઉપકરણો પર કનેક્ટ કરતી વખતે મને જે સમસ્યાઓનો સામનો કરવો પડ્યો. અમે રજિસ્ટર્ડ યુઝર્સ સાથે હાલના LDAP નો ઉપયોગ કરીશું, FreeRadius ને વધારીશું અને Ubnt કંટ્રોલર પર WPA2-Enterprise ને ગોઠવીશું. બધું સરળ લાગે છે. જોઈએ…

EAP પદ્ધતિઓ વિશે થોડું

કાર્ય સાથે આગળ વધતા પહેલા, આપણે નક્કી કરવાની જરૂર છે કે અમે અમારા ઉકેલમાં કઈ પ્રમાણીકરણ પદ્ધતિનો ઉપયોગ કરીશું.

વિકિપીડિયા પરથી:

EAP એ પ્રમાણીકરણ ફ્રેમવર્ક છે જેનો ઉપયોગ વાયરલેસ નેટવર્ક અને પોઈન્ટ-ટુ-પોઈન્ટ કનેક્શન્સમાં થાય છે. ફોર્મેટનું પ્રથમ વર્ણન RFC 3748 માં કરવામાં આવ્યું હતું અને RFC 5247 માં અપડેટ કરવામાં આવ્યું હતું.
EAP નો ઉપયોગ પ્રમાણીકરણ પદ્ધતિ પસંદ કરવા, કીઓ સ્થાનાંતરિત કરવા અને EAP પદ્ધતિઓ તરીકે ઓળખાતા પ્લગઈન્સ દ્વારા તે કીઓની પ્રક્રિયા કરવા માટે થાય છે. ત્યાં ઘણી બધી EAP પદ્ધતિઓ છે, બંને EAP પોતે અને વ્યક્તિગત વિક્રેતાઓ દ્વારા બહાર પાડવામાં આવેલ છે. EAP લિંક લેયરને વ્યાખ્યાયિત કરતું નથી, તે માત્ર મેસેજ ફોર્મેટને વ્યાખ્યાયિત કરે છે. દરેક પ્રોટોકોલ જે EAP નો ઉપયોગ કરે છે તેનો પોતાનો EAP મેસેજ એન્કેપ્સ્યુલેશન પ્રોટોકોલ હોય છે.

પદ્ધતિઓ પોતે:

LEAP એ CISCO દ્વારા વિકસાવવામાં આવેલ માલિકીનો પ્રોટોકોલ છે. નબળાઈઓ મળી. હાલમાં તેનો ઉપયોગ કરવાની ભલામણ કરવામાં આવતી નથી
EAP-TLS વાયરલેસ વિક્રેતાઓમાં સારી રીતે સપોર્ટેડ છે. તે એક સુરક્ષિત પ્રોટોકોલ છે કારણ કે તે SSL ધોરણોનું અનુગામી છે. ક્લાયંટ સેટ કરવું ખૂબ જટિલ છે. તમારે પાસવર્ડ ઉપરાંત ક્લાયંટ પ્રમાણપત્રની જરૂર છે. ઘણી સિસ્ટમો પર સપોર્ટેડ છે
EAP-TTLS - ઘણી સિસ્ટમો પર વ્યાપકપણે સમર્થિત, માત્ર પ્રમાણીકરણ સર્વર પર PKI પ્રમાણપત્રોનો ઉપયોગ કરીને સારી સુરક્ષા પ્રદાન કરે છે
EAP-MD5 અન્ય ઓપન સ્ટાન્ડર્ડ છે. ન્યૂનતમ સુરક્ષા પ્રદાન કરે છે. સંવેદનશીલ, પરસ્પર પ્રમાણીકરણ અને કી જનરેશનને સપોર્ટ કરતું નથી
EAP-IKEv2 - ઇન્ટરનેટ કી એક્સચેન્જ પ્રોટોકોલ સંસ્કરણ 2 પર આધારિત. ક્લાયંટ અને સર્વર વચ્ચે પરસ્પર પ્રમાણીકરણ અને સત્ર કી સ્થાપના પ્રદાન કરે છે
PEAP એ ઓપન સ્ટાન્ડર્ડ તરીકે CISCO, Microsoft અને RSA સુરક્ષાનું સંયુક્ત સોલ્યુશન છે. ઉત્પાદનોમાં વ્યાપકપણે ઉપલબ્ધ છે, ખૂબ સારી સુરક્ષા પૂરી પાડે છે. EAP-TTLS ની જેમ જ, સર્વર બાજુ પર માત્ર પ્રમાણપત્રની જરૂર છે
PEAPv0/EAP-MSCHAPv2 - EAP-TLS પછી, આ વિશ્વમાં વ્યાપકપણે ઉપયોગમાં લેવાતું બીજું ધોરણ છે. Microsoft, Cisco, Apple, Linux માં વપરાયેલ ક્લાયંટ-સર્વર સંબંધ
PEAPv1/EAP-GTC - સિસ્કો દ્વારા PEAPv0/EAP-MSCHAPv2 ના વિકલ્પ તરીકે બનાવેલ છે. પ્રમાણીકરણ ડેટાને કોઈપણ રીતે સુરક્ષિત કરતું નથી. Windows OS પર સમર્થિત નથી
EAP-FAST એ LEAP ની ખામીઓને સુધારવા માટે Cisco દ્વારા વિકસિત પદ્ધતિ છે. પ્રોટેક્ટેડ એક્સેસ ઓળખપત્ર (PAC) નો ઉપયોગ કરે છે. સાવ અધૂરું

આ બધી વિવિધતામાંથી, પસંદગી હજુ પણ મહાન નથી. પ્રમાણીકરણ પદ્ધતિ જરૂરી હતી: સારી સુરક્ષા, તમામ ઉપકરણો પર સપોર્ટ (Windows 10, macOS, Linux, Android, iOS) અને, હકીકતમાં, વધુ સરળ. તેથી, પસંદગી PAP પ્રોટોકોલ સાથે જોડાણમાં EAP-TTLS પર પડી.
પ્રશ્ન ઊભો થઈ શકે છે - શા માટે PAP નો ઉપયોગ કરવો? કારણ કે તે સ્પષ્ટ રીતે પાસવર્ડ્સ ટ્રાન્સમિટ કરે છે?

હા તે સાચું છે. ફ્રીરેડિયસ અને ફ્રીઆઈપીએ વચ્ચેનો સંચાર આ રીતે થશે. ડીબગ મોડમાં, તમે વપરાશકર્તાનામ અને પાસવર્ડ કેવી રીતે મોકલવામાં આવે છે તે ટ્રૅક કરી શકો છો. હા, અને તેમને જવા દો, ફક્ત તમારી પાસે ફ્રીરેડિયસ સર્વરની ઍક્સેસ છે.

તમે EAP-TTLS ના કાર્ય વિશે વધુ વાંચી શકો છો અહીં

ફ્રીરેડિયસ

FreeRadius CentOS 7.6 પર વધારવામાં આવશે. અહીં કંઈ જટિલ નથી, અમે તેને સામાન્ય રીતે સેટ કરીએ છીએ.

yum install freeradius freeradius-utils freeradius-ldap -y

સંસ્કરણ 3.0.13 પેકેજોમાંથી ઇન્સ્ટોલ કરેલું છે. બાદમાં લઈ શકાય છે https://freeradius.org/

આ પછી, ફ્રીરેડિયસ પહેલેથી જ કામ કરી રહ્યું છે. તમે /etc/raddb/users માં લાઇનને અનકોમેન્ટ કરી શકો છો

steve   Cleartext-Password := "testing"

ડીબગ મોડમાં સર્વરમાં લોંચ કરો

freeradius -X

અને લોકલહોસ્ટથી ટેસ્ટ કનેક્શન બનાવો

radtest steve testing 127.0.0.1 1812 testing123

જવાબ મળ્યો 115:127.0.0.1 થી 1812:127.0.0.1 લંબાઈ 56081 સુધી ઍક્સેસ-સ્વીકાર ID 20 પ્રાપ્ત થયો, તેનો અર્થ એ છે કે બધું બરાબર છે. આગળ વધો.

અમે મોડ્યુલને જોડીએ છીએ ldap.

ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

અને અમે તેને તરત જ બદલીશું. FreeIPA ને ઍક્સેસ કરવામાં સક્ષમ થવા માટે અમને FreeRadius ની જરૂર છે

મોડ્સ-સક્ષમ/ldap

ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...

ત્રિજ્યા સર્વરને પુનઃપ્રારંભ કરો અને LDAP વપરાશકર્તાઓનું સિંક્રનાઇઝેશન તપાસો:

radtest user_ldap password_ldap localhost 1812 testing123

Eap માં સંપાદન મોડ્સ-સક્ષમ/eap
અહીં આપણે eap ના બે ઉદાહરણો ઉમેરીશું. તેઓ માત્ર પ્રમાણપત્રો અને કીમાં જ અલગ હશે. હું નીચે સમજાવીશ કે આ કેમ સાચું છે.

મોડ્સ-સક્ષમ/eap

eap eap-client {                                                                                                                                                                                                                           default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_file = ${certdir}/fisrt.key
           certificate_file = ${certdir}/first.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}
eap eap-guest {
default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_passwotd=blablabla
           private_key_file = ${certdir}/server.key
           certificate_file = ${certdir}/server.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}

વધુ સંપાદન સાઇટ-સક્ષમ/ડિફૉલ્ટ. અધિકૃત અને પ્રમાણિત વિભાગો રસના છે.

સાઇટ-સક્ષમ/ડિફૉલ્ટ

authorize {
  filter_username
  preprocess
  if (&User-Name == "guest") {
   eap-guest {
       ok = return
   }
  }
  elsif (&User-Name == "client") {
    eap-client {
       ok = return 
    }
  }
  else {
    eap-guest {
       ok = return
    }
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  logintime
  pap
  }

authenticate {
  Auth-Type LDAP {
    ldap
  }
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  pap
}

અધિકૃત વિભાગમાં, અમે બધા મોડ્યુલોને દૂર કરીએ છીએ જેની અમને જરૂર નથી. અમે ફક્ત ldap છોડીએ છીએ. વપરાશકર્તાનામ દ્વારા ક્લાયંટ ચકાસણી ઉમેરો. તેથી જ અમે ઉપરના બે ઉદાહરણો ઉમેર્યા છે.

મલ્ટી EAPહકીકત એ છે કે કેટલાક ઉપકરણોને કનેક્ટ કરતી વખતે, અમે સિસ્ટમ પ્રમાણપત્રોનો ઉપયોગ કરીશું અને ડોમેનનો ઉલ્લેખ કરીશું. અમારી પાસે વિશ્વસનીય પ્રમાણપત્ર સત્તાધિકારી તરફથી પ્રમાણપત્ર અને ચાવી છે. અંગત રીતે, મારા મતે, આવી કનેક્શન પ્રક્રિયા દરેક ઉપકરણ પર સ્વ-સહી કરેલ પ્રમાણપત્ર ફેંકવા કરતાં વધુ સરળ છે. પરંતુ સ્વ-હસ્તાક્ષરિત પ્રમાણપત્રો વિના પણ, તે હજી પણ કામ કરતું નથી. સેમસંગ ઉપકરણો અને Android =< 6 સંસ્કરણો સિસ્ટમ પ્રમાણપત્રોનો ઉપયોગ કરી શકતા નથી. તેથી, અમે સ્વ-હસ્તાક્ષરિત પ્રમાણપત્રો સાથે તેમના માટે eap-ગેસ્ટનો એક અલગ દાખલો બનાવીએ છીએ. અન્ય તમામ ઉપકરણો માટે, અમે વિશ્વસનીય પ્રમાણપત્ર સાથે eap-clientનો ઉપયોગ કરીશું. જ્યારે ઉપકરણ કનેક્ટ થયેલ હોય ત્યારે વપરાશકર્તા-નામ અનામી ફીલ્ડ દ્વારા નક્કી કરવામાં આવે છે. ફક્ત 3 મૂલ્યોને મંજૂરી છે: અતિથિ, ક્લાયન્ટ અને ખાલી ફીલ્ડ. બાકીનું બધું કાઢી નાખવામાં આવે છે. તે રાજકારણીઓમાં ગોઠવવામાં આવશે. હું થોડી વાર પછી એક ઉદાહરણ આપીશ.

ચાલો માં અધિકૃત અને પ્રમાણિત વિભાગોને સંપાદિત કરીએ સાઇટ-સક્ષમ/ઇનર-ટનલ

સાઇટ-સક્ષમ/ઇનર-ટનલ

authorize {
  filter_username
  filter_inner_identity
  update control {
   &Proxy-To-Realm := LOCAL
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  digest
  logintime
  pap
  }

authenticate {
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  Auth-Type PAP {
    pap
  }
  ldap
}

આગળ, તમારે નીતિઓમાં સ્પષ્ટ કરવાની જરૂર છે કે અનામી લૉગિન માટે કયા નામોનો ઉપયોગ કરી શકાય છે. સંપાદન policy.d/filter.

તમારે આના જેવી જ રેખાઓ શોધવાની જરૂર છે:

if (&outer.request:User-Name !~ /^(anon|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

અને નીચે elsif માં ઇચ્છિત મૂલ્યો ઉમેરો:

elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

હવે આપણે ડિરેક્ટરીમાં જવાની જરૂર છે પ્રમાણપત્રો. અહીં તમારે વિશ્વસનીય પ્રમાણપત્ર સત્તાધિકારી તરફથી કી અને પ્રમાણપત્ર મૂકવાની જરૂર છે, જે અમારી પાસે પહેલેથી જ છે અને eap-ગેસ્ટ માટે સ્વ-હસ્તાક્ષરિત પ્રમાણપત્રો બનાવવાની જરૂર છે.

ફાઇલમાં પરિમાણો બદલી રહ્યા છીએ ca.cnf.

ca.cnf


...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"

અમે ફાઇલમાં સમાન મૂલ્યો લખીએ છીએ server.cnf. આપણે જ બદલીએ છીએ
સામાન્ય નામ:

server.cnf


...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"

બનાવો:

make

તૈયાર છે. પ્રાપ્ત server.crt и server.key અમે પહેલાથી જ ઉપરોક્ત eap-ગેસ્ટમાં નોંધણી કરાવી છે.

અને છેલ્લે, ચાલો ફાઈલમાં અમારા એક્સેસ પોઈન્ટ ઉમેરીએ ગ્રાહક. મારી પાસે તેમાંથી 7 છે. દરેક પોઈન્ટને અલગથી ન ઉમેરવા માટે, અમે ફક્ત તે જ નેટવર્કની નોંધણી કરીશું જેમાં તેઓ સ્થિત છે (મારા એક્સેસ પોઈન્ટ અલગ VLAN માં છે).

client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}

Ubiquiti નિયંત્રક

અમે નિયંત્રક પર એક અલગ નેટવર્ક ઊભું કરીએ છીએ. તેને 192.168.2.0/24 થવા દો
સેટિંગ્સ -> પ્રોફાઇલ પર જાઓ. અમે એક નવું બનાવીએ છીએ:

અમે રેડિયસ સર્વરનું સરનામું અને પોર્ટ અને ફાઇલમાં લખેલ પાસવર્ડ લખીએ છીએ clients.conf:

નવું વાયરલેસ નેટવર્ક નામ બનાવો. પ્રમાણીકરણ પદ્ધતિ તરીકે WPA-EAP (એન્ટરપ્રાઇઝ) પસંદ કરો અને બનાવેલ ત્રિજ્યા પ્રોફાઇલનો ઉલ્લેખ કરો:

અમે બધું સાચવીએ છીએ, અરજી કરીએ છીએ અને આગળ વધીએ છીએ.

ગ્રાહકો સુયોજિત કરી રહ્યા છીએ

ચાલો સૌથી મુશ્કેલ સાથે પ્રારંભ કરીએ!

વિન્ડોઝ 10

મુશ્કેલી એ હકીકત પર આવે છે કે Windows ને હજુ સુધી ખબર નથી કે ડોમેન દ્વારા કોર્પોરેટ વાઇફાઇ સાથે કેવી રીતે કનેક્ટ કરવું. તેથી, અમારે મેન્યુઅલી અમારા પ્રમાણપત્રને વિશ્વસનીય પ્રમાણપત્ર સ્ટોર પર અપલોડ કરવું પડશે. અહીં તમે સ્વ-હસ્તાક્ષરિત અને પ્રમાણપત્ર અધિકારી તરફથી બંનેનો ઉપયોગ કરી શકો છો. હું બીજાનો ઉપયોગ કરીશ.

આગળ, તમારે એક નવું કનેક્શન બનાવવાની જરૂર છે. આ કરવા માટે, નેટવર્ક અને ઇન્ટરનેટ સેટિંગ્સ -> નેટવર્ક અને શેરિંગ સેન્ટર -> નવું કનેક્શન અથવા નેટવર્ક બનાવો અને ગોઠવો પર જાઓ:

મેન્યુઅલી નેટવર્ક નામ દાખલ કરો અને સુરક્ષાનો પ્રકાર બદલો. અમે ક્લિક કર્યા પછી કનેક્શન સેટિંગ્સ બદલો અને સુરક્ષા ટેબમાં, નેટવર્ક ઓથેન્ટિકેશન પસંદ કરો - EAP-TTLS.

અમે પરિમાણોમાં જઈએ છીએ, પ્રમાણીકરણની ગુપ્તતા સૂચવીએ છીએ - ક્લાઈન્ટ. વિશ્વસનીય પ્રમાણપત્ર અધિકારી તરીકે, અમે ઉમેરેલ પ્રમાણપત્ર પસંદ કરો, "જો સર્વર અધિકૃત ન હોઈ શકે તો વપરાશકર્તાને આમંત્રણ આપશો નહીં" બૉક્સને ચેક કરો અને પ્રમાણીકરણ પદ્ધતિ પસંદ કરો - પ્લેનટેક્સ્ટ પાસવર્ડ (PAP).

આગળ, અદ્યતન સેટિંગ્સ પર જાઓ, "પ્રમાણીકરણ મોડનો ઉલ્લેખ કરો" પર ટિક મૂકો. "વપરાશકર્તા પ્રમાણીકરણ" પસંદ કરો અને તેના પર ક્લિક કરો ઓળખપત્ર સાચવો. અહીં તમારે username_ldap અને password_ldap દાખલ કરવાની જરૂર પડશે

અમે બધું સાચવીએ છીએ, લાગુ કરીએ છીએ, બંધ કરીએ છીએ. તમે નવા નેટવર્કથી કનેક્ટ થઈ શકો છો.

Linux

મેં ઉબુન્ટુ 18.04, 18.10, ફેડોરા 29, 30 પર પરીક્ષણ કર્યું.

પ્રથમ, તમારા માટે પ્રમાણપત્ર ડાઉનલોડ કરો. મને લિનક્સમાં જાણવા મળ્યું નથી કે સિસ્ટમ પ્રમાણપત્રોનો ઉપયોગ કરવો શક્ય છે કે કેમ કે આવો સ્ટોર બિલકુલ છે.

ચાલો ડોમેન સાથે કનેક્ટ કરીએ. તેથી, અમને પ્રમાણપત્ર સત્તાધિકારી પાસેથી પ્રમાણપત્રની જરૂર છે કે જેમાંથી અમારું પ્રમાણપત્ર ખરીદવામાં આવ્યું હતું.

બધા જોડાણો એક વિન્ડોમાં કરવામાં આવે છે. અમારું નેટવર્ક પસંદ કરી રહ્યા છીએ:

અનામી-ગ્રાહક
ડોમેન - ડોમેન કે જેના માટે પ્રમાણપત્ર જારી કરવામાં આવે છે

, Android

બિન-સેમસંગ

સંસ્કરણ 7 થી, જ્યારે વાઇફાઇને કનેક્ટ કરી રહ્યાં હોય, ત્યારે તમે ફક્ત ડોમેનનો ઉલ્લેખ કરીને સિસ્ટમ પ્રમાણપત્રોનો ઉપયોગ કરી શકો છો:

ડોમેન - ડોમેન કે જેના માટે પ્રમાણપત્ર જારી કરવામાં આવે છે
અનામી-ગ્રાહક

સેમસંગ

જેમ મેં ઉપર લખ્યું છે તેમ, સેમસંગ ઉપકરણો WiFi થી કનેક્ટ કરતી વખતે સિસ્ટમ પ્રમાણપત્રોનો ઉપયોગ કેવી રીતે કરવો તે જાણતા નથી, અને તેમની પાસે ડોમેન દ્વારા કનેક્ટ થવાની ક્ષમતા નથી. તેથી, તમારે પ્રમાણપત્ર અધિકારીનું રૂટ પ્રમાણપત્ર મેન્યુઅલી ઉમેરવું આવશ્યક છે (ca.pem, અમે તેને રેડિયસ સર્વર પર લઈએ છીએ). અહીં તે છે જ્યાં સ્વ-સહીનો ઉપયોગ કરવામાં આવશે.

તમારા ઉપકરણ પર પ્રમાણપત્ર ડાઉનલોડ કરો અને તેને ઇન્સ્ટોલ કરો.

પ્રમાણપત્ર સ્થાપન

તે જ સમયે, તમારે સ્ક્રીન અનલૉક પેટર્ન, પિન કોડ અથવા પાસવર્ડ સેટ કરવાની જરૂર પડશે, જો તે પહેલેથી સેટ કરેલ નથી:

મેં પ્રમાણપત્ર ઇન્સ્ટોલ કરવાનું એક જટિલ સંસ્કરણ બતાવ્યું. મોટાભાગનાં ઉપકરણો પર, ફક્ત ડાઉનલોડ કરેલ પ્રમાણપત્ર પર ક્લિક કરો.

જ્યારે પ્રમાણપત્ર ઇન્સ્ટોલ થઈ જાય, ત્યારે તમે કનેક્શન પર આગળ વધી શકો છો:

પ્રમાણપત્ર - ઇન્સ્ટોલ કરેલું એક સૂચવો
અનામી વપરાશકર્તા - અતિથિ

MacOS

બૉક્સની બહાર Apple ઉપકરણો ફક્ત EAP-TLS સાથે કનેક્ટ થઈ શકે છે, પરંતુ તમારે હજી પણ તેમના પર પ્રમાણપત્ર ફેંકવાની જરૂર છે. એક અલગ કનેક્શન પદ્ધતિનો ઉલ્લેખ કરવા માટે, તમારે Apple Configurator 2 નો ઉપયોગ કરવાની જરૂર છે. તદનુસાર, તમારે પહેલા તેને તમારા Mac પર ડાઉનલોડ કરવું પડશે, એક નવી પ્રોફાઇલ બનાવવી પડશે અને બધી જરૂરી WiFi સેટિંગ્સ ઉમેરવી પડશે.

એપલ કન્ફિગ્યુરેટર

તમારા નેટવર્કનું નામ અહીં દાખલ કરો
સુરક્ષા પ્રકાર - WPA2 એન્ટરપ્રાઇઝ
સ્વીકૃત EAP પ્રકારો - TTLS
વપરાશકર્તા નામ અને પાસવર્ડ - ખાલી છોડી દો
આંતરિક પ્રમાણીકરણ - PAP
બાહ્ય ઓળખ-ગ્રાહક

ટ્રસ્ટ ટેબ. અહીં આપણે અમારું ડોમેન સ્પષ્ટ કરીએ છીએ

બધા. પ્રોફાઇલ સાચવી શકાય છે, સહી કરી શકાય છે અને ઉપકરણો પર વિતરિત કરી શકાય છે

પ્રોફાઇલ તૈયાર થયા પછી, તમારે તેને ખસખસ પર ડાઉનલોડ કરવાની અને તેને ઇન્સ્ટોલ કરવાની જરૂર છે. ઇન્સ્ટોલેશન પ્રક્રિયા દરમિયાન, તમારે વપરાશકર્તાના usernmae_ldap અને password_ldap નો ઉલ્લેખ કરવાની જરૂર પડશે:

iOS

પ્રક્રિયા macOS જેવી જ છે. તમારે પ્રોફાઇલનો ઉપયોગ કરવાની જરૂર છે (તમે macOS માટે જેવો જ ઉપયોગ કરી શકો છો. Apple Configurator માં પ્રોફાઇલ કેવી રીતે બનાવવી તે માટે ઉપર જુઓ).

પ્રોફાઇલ ડાઉનલોડ કરો, ઇન્સ્ટોલ કરો, ઓળખપત્ર દાખલ કરો, કનેક્ટ કરો:

બસ એટલું જ. અમે ત્રિજ્યા સર્વર સેટ કર્યું, તેને FreeIPA સાથે સમન્વયિત કર્યું, અને Ubiquiti APs ને WPA2-EAP નો ઉપયોગ કરવાનું કહ્યું.

સંભવિત પ્રશ્નો

IN: કર્મચારીને પ્રોફાઇલ/પ્રમાણપત્ર કેવી રીતે સ્થાનાંતરિત કરવું?

વિશે: હું વેબ એક્સેસ સાથે ftp પર તમામ પ્રમાણપત્રો/પ્રોફાઇલ સ્ટોર કરું છું. ઝડપ મર્યાદા સાથે ગેસ્ટ નેટવર્ક ઉભું કર્યું અને ftp ના અપવાદ સિવાય માત્ર ઇન્ટરનેટની ઍક્સેસ.
પ્રમાણીકરણ 2 દિવસ સુધી ચાલે છે, તે પછી તે રીસેટ થાય છે અને ક્લાયંટ ઇન્ટરનેટ વિના રહે છે. તે. જ્યારે કોઈ કર્મચારી વાઈફાઈથી કનેક્ટ થવા માંગે છે, ત્યારે તે પહેલા ગેસ્ટ નેટવર્કથી કનેક્ટ થાય છે, FTP ઍક્સેસ કરે છે, તેને જોઈતું પ્રમાણપત્ર અથવા પ્રોફાઇલ ડાઉનલોડ કરે છે, તેને ઇન્સ્ટોલ કરે છે અને પછી કોર્પોરેટ નેટવર્કથી કનેક્ટ થઈ શકે છે.

IN: શા માટે MSCHAPv2 સાથે સ્કીમાનો ઉપયોગ કરશો નહીં? તેણી વધુ સુરક્ષિત છે!

વિશે: સૌપ્રથમ, આવી સ્કીમ NPS (Windows Network Policy System) પર સારી રીતે કામ કરે છે, અમારા અમલીકરણમાં વધુમાં LDAP (FreeIpa) ને ગોઠવવું અને સર્વર પર પાસવર્ડ હેશ સંગ્રહિત કરવું જરૂરી છે. ઉમેરો. સેટિંગ્સ બનાવવાની સલાહ આપવામાં આવતી નથી, કારણ કે. આ અલ્ટ્રાસાઉન્ડને સિંક્રનાઇઝ કરવાની વિવિધ સમસ્યાઓ તરફ દોરી શકે છે. બીજું, હેશ MD4 છે, તેથી તે વધુ સુરક્ષા ઉમેરતું નથી.

IN: શું મેક-એડ્રેસ દ્વારા ઉપકરણોને અધિકૃત કરવું શક્ય છે?

વિશે: ના, આ સલામત નથી, હુમલાખોર MAC સરનામાં બદલી શકે છે, અને તેથી પણ વધુ તેથી MAC સરનામાં દ્વારા અધિકૃતતા ઘણા ઉપકરણો પર સમર્થિત નથી.

IN: આ બધા પ્રમાણપત્રોનો ઉપયોગ કેમ કરવો? તમે તેમના વિના કનેક્ટ કરી શકો છો

વિશે: પ્રમાણપત્રોનો ઉપયોગ સર્વરને અધિકૃત કરવા માટે થાય છે. તે. કનેક્ટ કરતી વખતે, ઉપકરણ તપાસે છે કે તે સર્વર છે કે જેના પર વિશ્વાસ કરી શકાય કે નહીં. જો તે હોય, તો પ્રમાણીકરણ ચાલુ રહે છે, જો નહીં, તો કનેક્શન બંધ છે. તમે પ્રમાણપત્રો વિના કનેક્ટ કરી શકો છો, પરંતુ જો કોઈ હુમલાખોર અથવા પાડોશી ઘરે અમારા જેવા જ નામ સાથે ત્રિજ્યા સર્વર અને એક્સેસ પોઈન્ટ સેટ કરે છે, તો તે વપરાશકર્તાના ઓળખપત્રોને સરળતાથી અટકાવી શકે છે (ભૂલશો નહીં કે તે સ્પષ્ટ ટેક્સ્ટમાં પ્રસારિત થાય છે). અને જ્યારે પ્રમાણપત્રનો ઉપયોગ કરવામાં આવે છે, ત્યારે દુશ્મન તેના લોગમાં ફક્ત આપણું કાલ્પનિક વપરાશકર્તા-નામ જોશે - અતિથિ અથવા ક્લાયંટ અને એક પ્રકારની ભૂલ - અજ્ઞાત CA પ્રમાણપત્ર

macOS વિશે થોડું વધારેસામાન્ય રીતે macOS પર, સિસ્ટમને ફરીથી ઇન્સ્ટોલ કરવાનું ઇન્ટરનેટ દ્વારા કરવામાં આવે છે. પુનઃપ્રાપ્તિ મોડમાં, Mac WiFi સાથે જોડાયેલ હોવું આવશ્યક છે, અને અમારું કોર્પોરેટ WiFi અથવા અતિથિ નેટવર્ક અહીં કામ કરશે નહીં. અંગત રીતે, મેં બીજું નેટવર્ક ઊભું કર્યું, સામાન્ય WPA2-PSK, છુપાયેલું, ફક્ત તકનીકી કામગીરી માટે. અથવા તમે હજુ પણ સિસ્ટમ સાથે અગાઉથી બુટ કરી શકાય તેવી USB ફ્લેશ ડ્રાઇવ બનાવી શકો છો. પરંતુ જો ખસખસ 2015 પછી છે, તો તમારે હજી પણ આ ફ્લેશ ડ્રાઇવ માટે એડેપ્ટર શોધવાની જરૂર પડશે)

સોર્સ: www.habr.com

વાઇફાઇ એન્ટરપ્રાઇઝ. FreeRadius + FreeIPA + Ubiquiti