वाईफ़ाई उद्यम। फ्रीरेडियस + फ्रीआईपीए + यूबिक्विटी

कॉर्पोरेट वाईफ़ाई के आयोजन के कुछ उदाहरण पहले ही वर्णित किए जा चुके हैं। यहां मैं वर्णन करूंगा कि मैंने इस तरह का समाधान कैसे लागू किया और विभिन्न उपकरणों पर कनेक्ट होने पर मुझे किन समस्याओं का सामना करना पड़ा। हम स्थापित उपयोगकर्ताओं के साथ मौजूदा एलडीएपी का उपयोग करेंगे, फ्रीरेडियस स्थापित करेंगे और यूबीएनटी नियंत्रक पर WPA2-एंटरप्राइज कॉन्फ़िगर करेंगे। सब कुछ सरल लगता है. चलो देखते हैं…

ईएपी विधियों के बारे में थोड़ा

कार्य शुरू करने से पहले, हमें यह तय करना होगा कि हम अपने समाधान में किस प्रमाणीकरण पद्धति का उपयोग करेंगे।

विकिपीडिया से:

ईएपी एक प्रमाणीकरण ढांचा है जिसका उपयोग अक्सर वायरलेस नेटवर्क और पॉइंट-टू-पॉइंट कनेक्शन में किया जाता है। प्रारूप को सबसे पहले RFC 3748 में वर्णित किया गया था और RFC 5247 में अद्यतन किया गया था।
ईएपी का उपयोग प्रमाणीकरण विधि का चयन करने, कुंजियाँ स्थानांतरित करने और ईएपी विधियों नामक प्लगइन्स द्वारा उन कुंजियों को संसाधित करने के लिए किया जाता है। कई ईएपी विधियां हैं, दोनों ही ईएपी से परिभाषित हैं और व्यक्तिगत विक्रेताओं द्वारा जारी की गई हैं। ईएपी लिंक परत को परिभाषित नहीं करता है, यह केवल संदेश प्रारूप को परिभाषित करता है। ईएपी का उपयोग करने वाले प्रत्येक प्रोटोकॉल का अपना ईएपी संदेश एनकैप्सुलेशन प्रोटोकॉल होता है।

विधियाँ स्वयं:

• LEAP CISCO द्वारा विकसित एक स्वामित्व प्रोटोकॉल है। कमजोरियाँ पाई गईं. वर्तमान में उपयोग के लिए अनुशंसित नहीं है
• ईएपी-टीएलएस वायरलेस विक्रेताओं के बीच अच्छी तरह से समर्थित है। यह एक सुरक्षित प्रोटोकॉल है क्योंकि यह एसएसएल मानकों का उत्तराधिकारी है। क्लाइंट को सेट करना काफी जटिल है. आपको पासवर्ड के अतिरिक्त क्लाइंट प्रमाणपत्र की आवश्यकता है। कई प्रणालियों पर समर्थित
• ईएपी-टीटीएलएस - कई प्रणालियों पर व्यापक रूप से समर्थित, केवल प्रमाणीकरण सर्वर पर पीकेआई प्रमाणपत्रों का उपयोग करके अच्छी सुरक्षा प्रदान करता है
• EAP-MD5 एक अन्य खुला मानक है। न्यूनतम सुरक्षा प्रदान करता है. असुरक्षित, पारस्परिक प्रमाणीकरण और कुंजी पीढ़ी का समर्थन नहीं करता है
• EAP-IKEv2 - इंटरनेट कुंजी एक्सचेंज प्रोटोकॉल संस्करण 2 पर आधारित। क्लाइंट और सर्वर के बीच पारस्परिक प्रमाणीकरण और सत्र कुंजी स्थापना प्रदान करता है
• PEAP एक खुले मानक के रूप में CISCO, Microsoft और RSA Security के बीच एक संयुक्त समाधान है। उत्पादों में व्यापक रूप से उपलब्ध, बहुत अच्छी सुरक्षा प्रदान करता है। ईएपी-टीटीएलएस के समान, केवल सर्वर-साइड प्रमाणपत्र की आवश्यकता होती है
• PEAPv0/EAP-MSCHAPv2 - EAP-TLS के बाद, यह दुनिया में दूसरा व्यापक रूप से इस्तेमाल किया जाने वाला मानक है। Microsoft, Cisco, Apple, Linux में क्लाइंट-सर्वर संबंध का उपयोग किया जाता है
• PEAPv1/EAP-GTC - PEAPv0/EAP-MSCHAPv2 के विकल्प के रूप में सिस्को द्वारा बनाया गया। प्रमाणीकरण डेटा को किसी भी तरह से सुरक्षित नहीं रखता. Windows OS पर समर्थित नहीं है
• EAP-FAST, LEAP की कमियों को दूर करने के लिए सिस्को द्वारा विकसित एक विधि है। संरक्षित एक्सेस क्रेडेंशियल (पीएसी) का उपयोग करता है। बिल्कुल अधूरा

इस सारी विविधता में से, विकल्प अभी भी बढ़िया नहीं है। प्रमाणीकरण विधि की आवश्यकता है: अच्छी सुरक्षा, सभी उपकरणों पर समर्थन (विंडोज 10, मैकओएस, लिनक्स, एंड्रॉइड, आईओएस) और, वास्तव में, जितना सरल उतना बेहतर। इसलिए, विकल्प पीएपी प्रोटोकॉल के साथ ईएपी-टीटीएलएस पर गिर गया।
प्रश्न उठ सकता है - पीएपी का उपयोग क्यों करें? आख़िरकार, यह स्पष्ट पाठ में पासवर्ड प्रसारित करता है?

हाँ यह सही है। FreeRadius और FreeIPA के बीच संचार बिल्कुल इसी तरह होगा। डिबग मोड में, आप ट्रैक कर सकते हैं कि उपयोगकर्ता नाम और पासवर्ड कैसे भेजे जाते हैं। हां, और उन्हें जाने दें, केवल आपके पास FreeRadius सर्वर तक पहुंच है।

आप ईएपी-टीटीएलएस कैसे काम करता है इसके बारे में अधिक पढ़ सकते हैं यहां

फ्रीरेडियस

हम FreeRadius को CentOS 7.6 में अपग्रेड करेंगे। यहां कुछ भी जटिल नहीं है, हम इसे सामान्य तरीके से स्थापित करते हैं।

yum install freeradius freeradius-utils freeradius-ldap -y

पैकेजों में से, संस्करण 3.0.13 स्थापित है। बाद वाले को यहां लिया जा सकता है https://freeradius.org/

इसके बाद FreeRadius पहले से ही काम कर रहा है। आप /etc/raddb/users में लाइन को अनकम्मेंट कर सकते हैं

steve   Cleartext-Password := "testing"

डिबग मोड में सर्वर में लॉन्च करें

freeradius -X

और लोकलहोस्ट से एक टेस्ट कनेक्शन बनाएं

radtest steve testing 127.0.0.1 1812 testing123

हमें जवाब मिला 115:127.0.0.1 से 1812:127.0.0.1 लंबाई 56081 तक एक्सेस-स्वीकार आईडी 20 प्राप्त हुई, इसका मतलब है कि सब कुछ ठीक है। आगे बढ़ो।

मॉड्यूल कनेक्ट करना ldap.

ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

और हम इसे तुरंत बदल देंगे. FreeIPA तक पहुंचने में सक्षम होने के लिए हमें FreeRadius की आवश्यकता है

मॉड-सक्षम/एलडीएपी

ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...

त्रिज्या सर्वर को पुनरारंभ करें और एलडीएपी उपयोगकर्ताओं के सिंक्रनाइज़ेशन की जांच करें:

radtest user_ldap password_ldap localhost 1812 testing123

ईएपी का संपादन मॉड-सक्षम/ईईपी
यहां हम eap के दो उदाहरण जोड़ेंगे। वे केवल प्रमाणपत्रों और चाबियों में भिन्न होंगे। मैं नीचे समझाऊंगा कि यह सच क्यों है।

मॉड-सक्षम/ईईपी

eap eap-client {                                                                                                                                                                                                                           default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_file = ${certdir}/fisrt.key
           certificate_file = ${certdir}/first.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}
eap eap-guest {
default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_passwotd=blablabla
           private_key_file = ${certdir}/server.key
           certificate_file = ${certdir}/server.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}

आगे हम संपादित करते हैं साइट-सक्षम/डिफ़ॉल्ट. मुझे अधिकृत और प्रमाणित अनुभागों में रुचि है।

साइट-सक्षम/डिफ़ॉल्ट

authorize {
  filter_username
  preprocess
  if (&User-Name == "guest") {
   eap-guest {
       ok = return
   }
  }
  elsif (&User-Name == "client") {
    eap-client {
       ok = return 
    }
  }
  else {
    eap-guest {
       ok = return
    }
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  logintime
  pap
  }

authenticate {
  Auth-Type LDAP {
    ldap
  }
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  pap
}

अधिकृत अनुभाग में हम उन सभी मॉड्यूल को हटा देते हैं जिनकी हमें आवश्यकता नहीं है। हम केवल ldap छोड़ते हैं। उपयोक्तानाम द्वारा ग्राहक सत्यापन जोड़ें. यही कारण है कि हमने ऊपर eap के दो उदाहरण जोड़े हैं।

मल्टी ईएपीतथ्य यह है कि कुछ उपकरणों को कनेक्ट करते समय हम सिस्टम प्रमाणपत्र का उपयोग करेंगे और डोमेन निर्दिष्ट करेंगे। हमारे पास एक विश्वसनीय प्रमाणपत्र प्राधिकारी से प्रमाणपत्र और कुंजी है। व्यक्तिगत रूप से, मेरी राय में, यह कनेक्शन प्रक्रिया प्रत्येक डिवाइस पर स्व-हस्ताक्षरित प्रमाणपत्र फेंकने की तुलना में सरल है। लेकिन स्व-हस्ताक्षरित प्रमाणपत्रों के बिना भी निकलना संभव नहीं था। सैमसंग डिवाइस और एंड्रॉइड =<6 संस्करण सिस्टम प्रमाणपत्र का उपयोग करना नहीं जानते हैं। इसलिए, हम स्व-हस्ताक्षरित प्रमाणपत्रों के साथ उनके लिए ईईपी-गेस्ट का एक अलग उदाहरण बनाते हैं। अन्य सभी उपकरणों के लिए हम विश्वसनीय प्रमाणपत्र के साथ ईईपी-क्लाइंट का उपयोग करेंगे। डिवाइस कनेक्ट करते समय उपयोगकर्ता नाम अज्ञात फ़ील्ड द्वारा निर्धारित किया जाता है। केवल 3 मानों की अनुमति है: अतिथि, ग्राहक और एक खाली फ़ील्ड। बाकी सब त्याग दिया गया है. इसे नीतियों में कॉन्फ़िगर किया जा सकता है. मैं थोड़ी देर बाद एक उदाहरण दूँगा।

आइए इसमें अधिकृत और प्रमाणित अनुभागों को संपादित करें साइट-सक्षम/आंतरिक-सुरंग

साइट-सक्षम/आंतरिक-सुरंग

authorize {
  filter_username
  filter_inner_identity
  update control {
   &Proxy-To-Realm := LOCAL
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  digest
  logintime
  pap
  }

authenticate {
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  Auth-Type PAP {
    pap
  }
  ldap
}

इसके बाद, आपको नीतियों में यह निर्दिष्ट करना होगा कि अज्ञात लॉगिन के लिए किन नामों का उपयोग किया जा सकता है। संपादन नीति.d/फ़िल्टर.

आपको इसके समान पंक्तियाँ ढूंढनी होंगी:

if (&outer.request:User-Name !~ /^(anon|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

और नीचे elsif में आवश्यक मान जोड़ें:

elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

अब हमें डायरेक्टरी में जाने की जरूरत है प्रमाणपत्र. यहां हमें एक विश्वसनीय प्रमाणन प्राधिकारी से कुंजी और प्रमाण पत्र रखने की आवश्यकता है, जो हमारे पास पहले से ही है, और हमें ईईपी-गेस्ट के लिए स्व-हस्ताक्षरित प्रमाण पत्र तैयार करने की आवश्यकता है।

फ़ाइल में पैरामीटर बदलना ca.cnf.

ca.cnf

...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"

हम फ़ाइल में समान मान लिखते हैं सर्वर.cnf. हम ही बदलते हैं
साधारण नाम:

सर्वर.cnf

...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"

हम बनाते हैं:

make

तैयार। प्राप्त सर्वर.crt и सर्वर.कुंजी हम पहले ही ऊपर eap-gust में रजिस्टर कर चुके हैं।

और अंत में, आइए फ़ाइल में अपने एक्सेस पॉइंट जोड़ें ग्राहक. मेरे पास उनमें से 7 हैं। प्रत्येक बिंदु को अलग से न जोड़ने के लिए, हम केवल उस नेटवर्क को पंजीकृत करेंगे जिसमें वे स्थित हैं (मेरे पहुंच बिंदु एक अलग वीएलएएन में हैं)।

client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}

यूबिक्विटी नियंत्रक

हम नियंत्रक पर एक अलग नेटवर्क बढ़ाते हैं। इसे 192.168.2.0/24 होने दें
सेटिंग्स -> प्रोफ़ाइल पर जाएँ। आइए एक नया बनाएं:

हम रेडियस सर्वर का पता और पोर्ट और फ़ाइल में लिखा गया पासवर्ड लिखते हैं client.conf:

एक नया वायरलेस नेटवर्क नाम बनाएं. प्रमाणीकरण विधि के रूप में WPA-EAP (एंटरप्राइज़) का चयन करें और बनाई गई त्रिज्या प्रोफ़ाइल निर्दिष्ट करें:

हम सब कुछ बचाते हैं, उसे लागू करते हैं और आगे बढ़ते हैं।

ग्राहक स्थापित करना

आइए सबसे कठिन भाग से शुरुआत करें!

Windows 10

कठिनाई इस तथ्य पर आती है कि विंडोज़ अभी तक नहीं जानता है कि किसी डोमेन पर कॉर्पोरेट वाईफाई से कैसे कनेक्ट किया जाए। इसलिए, हमें अपना प्रमाणपत्र मैन्युअल रूप से विश्वसनीय प्रमाणपत्र स्टोर पर अपलोड करना होगा। यहां आप स्व-हस्ताक्षरित या प्रमाणन प्राधिकारी से प्राप्त प्रमाणन का उपयोग कर सकते हैं। मैं दूसरे का उपयोग करूंगा.

इसके बाद आपको एक नया कनेक्शन बनाना होगा. ऐसा करने के लिए, नेटवर्क और इंटरनेट सेटिंग्स -> नेटवर्क और साझाकरण केंद्र -> एक नया कनेक्शन या नेटवर्क बनाएं और कॉन्फ़िगर करें पर जाएं:

हम मैन्युअल रूप से नेटवर्क नाम दर्ज करते हैं और सुरक्षा प्रकार बदलते हैं। फिर क्लिक करें कनेक्शन सेटिंग बदलें और सुरक्षा टैब में, नेटवर्क प्रमाणीकरण - ईएपी-टीटीएलएस चुनें।

सेटिंग्स में जाएं, प्रमाणीकरण की गोपनीयता सेट करें - ग्राहक. एक विश्वसनीय प्रमाणन प्राधिकारी के रूप में, हमारे द्वारा जोड़े गए प्रमाणपत्र का चयन करें, "यदि सर्वर अधिकृत नहीं किया जा सकता है तो उपयोगकर्ता को निमंत्रण जारी न करें" बॉक्स को चेक करें और प्रमाणीकरण विधि - प्लेनटेक्स्ट पासवर्ड (पीएपी) का चयन करें।

इसके बाद, अतिरिक्त पैरामीटर पर जाएं और "प्रमाणीकरण मोड निर्दिष्ट करें" बॉक्स को चेक करें। "उपयोगकर्ता प्रमाणीकरण" चुनें और क्लिक करें क्रेडेंशियल सहेजें. यहां आपको username_ldap और पासवर्ड_ldap दर्ज करना होगा

हम सब कुछ सहेजते हैं, लागू करते हैं, बंद करते हैं। आप किसी नये नेटवर्क से जुड़ सकते हैं.

Linux

मैंने Ubuntu 18.04, 18.10, Fedora 29, 30 पर परीक्षण किया।

सबसे पहले, अपने लिए प्रमाणपत्र डाउनलोड करें. मुझे लिनक्स में यह नहीं पता चला कि क्या सिस्टम सर्टिफिकेट का उपयोग करना संभव है या क्या ऐसा कोई स्टोर है।

हम डोमेन के माध्यम से जुड़ेंगे। इसलिए, हमें उस प्रमाणन प्राधिकारी से प्रमाणपत्र की आवश्यकता है जिससे हमारा प्रमाणपत्र खरीदा गया था।

सभी कनेक्शन एक ही विंडो में बनाये गये हैं। हमारा नेटवर्क चुनें:

अनाम - ग्राहक
डोमेन - वह डोमेन जिसके लिए प्रमाणपत्र जारी किया गया था

Android

गैर-सैमसंग

संस्करण 7 से, वाईफाई कनेक्ट करते समय, आप केवल डोमेन निर्दिष्ट करके सिस्टम प्रमाणपत्र का उपयोग कर सकते हैं:

डोमेन - वह डोमेन जिसके लिए प्रमाणपत्र जारी किया गया था
अनाम - ग्राहक

सैमसंग

जैसा कि मैंने ऊपर लिखा है, सैमसंग डिवाइस वाईफाई कनेक्ट करते समय सिस्टम प्रमाणपत्र का उपयोग करना नहीं जानते हैं, और उनके पास डोमेन के माध्यम से कनेक्ट करने की क्षमता नहीं है। इसलिए, आपको प्रमाणन प्राधिकारी का रूट प्रमाणपत्र मैन्युअल रूप से जोड़ना होगा (ca.pem, इसे रेडियस सर्वर से लें)। यहीं पर स्व-हस्ताक्षरित का उपयोग किया जाएगा।

प्रमाणपत्र को अपने डिवाइस पर डाउनलोड करें और इंस्टॉल करें।

प्रमाणपत्र स्थापित करना







इस मामले में, आपको स्क्रीन अनलॉक पैटर्न, पिन कोड या पासवर्ड सेट करने की आवश्यकता होगी, यदि यह पहले से सेट नहीं है:

मैंने प्रमाणपत्र स्थापित करने के लिए एक जटिल विकल्प दिखाया। अधिकांश उपकरणों पर, बस डाउनलोड किए गए प्रमाणपत्र पर क्लिक करें।

जब प्रमाणपत्र स्थापित हो जाए, तो आप कनेक्शन के लिए आगे बढ़ सकते हैं:

प्रमाणपत्र - जिसे आपने इंस्टॉल किया है उसे इंगित करें
अनाम उपयोक्ता - अतिथि

macOS

Apple डिवाइस केवल आउट ऑफ द बॉक्स EAP-TLS से कनेक्ट हो सकते हैं, लेकिन फिर भी आपको उन्हें एक प्रमाणपत्र प्रदान करना होगा। एक अलग कनेक्शन विधि निर्दिष्ट करने के लिए, आपको ऐप्पल कॉन्फिगरेटर 2 का उपयोग करने की आवश्यकता है। तदनुसार, आपको पहले इसे अपने मैक पर डाउनलोड करना होगा, एक नया प्रोफ़ाइल बनाना होगा और सभी आवश्यक वाईफाई सेटिंग्स जोड़ना होगा।

एप्पल कॉन्फ़िगरेटर



यहां हम अपने नेटवर्क का नाम दर्शाते हैं
सुरक्षा प्रकार - WPA2 एंटरप्राइज़
स्वीकृत ईएपी प्रकार - टीटीएलएस
उपयोगकर्ता नाम और पासवर्ड - खाली छोड़ें
आंतरिक प्रमाणीकरण - पीएपी
बाहरी पहचान - ग्राहक

ट्रस्ट टैब. यहां हम अपना डोमेन दर्शाते हैं

सभी। प्रोफ़ाइल को डिवाइसों में सहेजा, हस्ताक्षरित और वितरित किया जा सकता है

प्रोफ़ाइल तैयार होने के बाद, आपको इसे अपने मैक पर डाउनलोड करना होगा और इंस्टॉल करना होगा। इंस्टॉलेशन प्रक्रिया के दौरान, आपको उपयोगकर्ता का usernmae_ldap और पासवर्ड_ldap निर्दिष्ट करना होगा:

iOS

यह प्रक्रिया macOS के समान है। आपको एक प्रोफ़ाइल का उपयोग करने की आवश्यकता है (आप macOS के लिए उसी का उपयोग कर सकते हैं। Apple कॉन्फिगरेटर में प्रोफ़ाइल कैसे बनाएं, इसके लिए ऊपर देखें)।

प्रोफ़ाइल डाउनलोड करें, इंस्टॉल करें, क्रेडेंशियल दर्ज करें, कनेक्ट करें:

बस इतना ही। हमने रेडियस सर्वर स्थापित किया, इसे FreeIPA के साथ सिंक किया, और Ubiquiti एक्सेस पॉइंट्स को WPA2-EAP का उपयोग करने के लिए कहा।

संभावित प्रश्न

में: किसी कर्मचारी को प्रोफ़ाइल/प्रमाणपत्र कैसे स्थानांतरित करें?

के बारे में: मैं वेब के माध्यम से पहुंच के साथ सभी प्रमाणपत्र/प्रोफाइल को एफ़टीपी पर संग्रहीत करता हूं। मैंने एफ़टीपी के अपवाद के साथ, गति सीमा और केवल इंटरनेट तक पहुंच के साथ एक अतिथि नेटवर्क स्थापित किया है।
प्रमाणीकरण 2 दिनों तक चलता है, जिसके बाद इसे रीसेट कर दिया जाता है और क्लाइंट को इंटरनेट के बिना छोड़ दिया जाता है। वह। जब कोई कर्मचारी वाईफाई से जुड़ना चाहता है, तो वह पहले अतिथि नेटवर्क से जुड़ता है, एफ़टीपी में लॉग इन करता है, अपनी ज़रूरत का प्रमाणपत्र या प्रोफ़ाइल डाउनलोड करता है, उन्हें इंस्टॉल करता है, और फिर कॉर्पोरेट नेटवर्क से जुड़ सकता है।

में: MSCHAPv2 वाली योजना का उपयोग क्यों न करें? यह अधिक सुरक्षित है!

के बारे में: सबसे पहले, यह योजना एनपीएस (विंडोज नेटवर्क पॉलिसी सिस्टम) पर अच्छी तरह से काम करती है, हमारे कार्यान्वयन में एलडीएपी (फ्रीआईपीए) को अतिरिक्त रूप से कॉन्फ़िगर करना और सर्वर पर पासवर्ड हैश स्टोर करना आवश्यक है। जोड़ना। सेटिंग करना उचित नहीं है, क्योंकि इससे अल्ट्रासाउंड प्रणाली के सिंक्रनाइज़ेशन में विभिन्न समस्याएं पैदा हो सकती हैं। दूसरे, हैश MD4 है, इसलिए यह अधिक सुरक्षा नहीं जोड़ता है

में: क्या मैक पते का उपयोग करके उपकरणों को अधिकृत करना संभव है?

के बारे में: नहीं, यह सुरक्षित नहीं है, एक हमलावर मैक पते को धोखा दे सकता है, और इससे भी अधिक, मैक पते द्वारा प्राधिकरण कई उपकरणों पर समर्थित नहीं है

में: आख़िर इन सभी प्रमाणपत्रों का उपयोग क्यों करें? आप उनके बिना कनेक्ट कर सकते हैं

के बारे में: सर्वर को अधिकृत करने के लिए प्रमाणपत्रों का उपयोग किया जाता है। वे। कनेक्ट करते समय, डिवाइस जांचता है कि यह एक सर्वर है जिस पर भरोसा किया जा सकता है या नहीं। यदि ऐसा है, तो प्रमाणीकरण आगे बढ़ता है; यदि नहीं, तो कनेक्शन बंद हो जाता है। आप प्रमाणपत्रों के बिना कनेक्ट कर सकते हैं, लेकिन यदि कोई हमलावर या पड़ोसी एक रेडियस सर्वर और हमारे घर के समान नाम वाला एक एक्सेस प्वाइंट सेट करता है, तो वह उपयोगकर्ता के क्रेडेंशियल्स को आसानी से रोक सकता है (यह न भूलें कि वे स्पष्ट पाठ में प्रसारित होते हैं) . और जब एक प्रमाणपत्र का उपयोग किया जाता है, तो दुश्मन अपने लॉग में केवल हमारा काल्पनिक उपयोगकर्ता नाम - अतिथि या ग्राहक और एक प्रकार की त्रुटि - अज्ञात सीए प्रमाणपत्र देखेगा।

macOS के बारे में थोड़ा औरआमतौर पर, macOS पर, सिस्टम को पुनः इंस्टॉल करना इंटरनेट के माध्यम से किया जाता है। पुनर्प्राप्ति मोड में, मैक को वाईफाई से कनेक्ट होना चाहिए, और न तो हमारा कॉर्पोरेट वाईफाई और न ही अतिथि नेटवर्क यहां काम करेगा। व्यक्तिगत रूप से, मैंने एक और नेटवर्क स्थापित किया, सामान्य WPA2-PSK, केवल तकनीकी संचालन के लिए छिपा हुआ। या आप पहले से सिस्टम के साथ बूट करने योग्य USB फ्लैश ड्राइव भी बना सकते हैं। लेकिन यदि आपका मैक 2015 के बाद का है, तो आपको इस फ्लैश ड्राइव के लिए एक एडॉप्टर भी ढूंढना होगा)

स्रोत: www.habr.com