🥇សហគ្រាសវ៉ាយហ្វាយ។ FreeRadius + FreeIPA + Ubiquiti

ឧទាហរណ៍មួយចំនួននៃការរៀបចំប្រព័ន្ធ WiFi របស់ក្រុមហ៊ុនត្រូវបានពិពណ៌នារួចហើយ។ នៅទីនេះខ្ញុំនឹងរៀបរាប់ពីរបៀបដែលខ្ញុំបានអនុវត្តដំណោះស្រាយស្រដៀងគ្នា និងបញ្ហាដែលខ្ញុំត្រូវប្រឈមមុខនៅពេលភ្ជាប់ឧបករណ៍ផ្សេងៗ។ យើងនឹងប្រើ LDAP ដែលមានស្រាប់ជាមួយអ្នកប្រើប្រាស់ដែលបានចុះឈ្មោះ បង្កើន FreeRadius និងកំណត់រចនាសម្ព័ន្ធ WPA2-Enterprise នៅលើឧបករណ៍បញ្ជា Ubnt ។ អ្វីគ្រប់យ៉ាងហាក់ដូចជាសាមញ្ញ។ សូមមើល…

បន្តិចអំពីវិធីសាស្រ្ត EAP

មុននឹងបន្តកិច្ចការ យើងត្រូវសម្រេចចិត្តថាតើវិធីសាស្ត្រផ្ទៀងផ្ទាត់ណាមួយដែលយើងនឹងប្រើក្នុងដំណោះស្រាយរបស់យើង។

ពីវិគីភីឌា៖

EAP គឺជាក្របខ័ណ្ឌការផ្ទៀងផ្ទាត់ដែលត្រូវបានប្រើជាញឹកញាប់នៅក្នុងបណ្តាញឥតខ្សែ និងការតភ្ជាប់ពីចំណុចមួយទៅចំណុចមួយ។ ទម្រង់នេះត្រូវបានពិពណ៌នាជាលើកដំបូងនៅក្នុង RFC 3748 និងបានធ្វើបច្ចុប្បន្នភាពនៅក្នុង RFC 5247 ។
EAP ត្រូវបានប្រើដើម្បីជ្រើសរើសវិធីសាស្ត្រផ្ទៀងផ្ទាត់លេខសម្ងាត់ និងដំណើរការសោទាំងនោះជាមួយកម្មវិធីជំនួយដែលហៅថាវិធីសាស្ត្រ EAP។ មានវិធីសាស្រ្ត EAP ជាច្រើន ដែលកំណត់ដោយ EAP ខ្លួនវាផ្ទាល់ និងចេញផ្សាយដោយអ្នកលក់ម្នាក់ៗ។ EAP មិនកំណត់ស្រទាប់តំណទេ វាកំណត់តែទម្រង់សារប៉ុណ្ណោះ។ ពិធីការនីមួយៗដែលប្រើ EAP មានពិធីសារ EAP ផ្ទាល់ខ្លួន។

វិធីសាស្រ្តខ្លួនឯង៖

LEAP គឺជាពិធីការដែលមានកម្មសិទ្ធិដែលត្រូវបានបង្កើតឡើងដោយ CISCO ។ ភាពងាយរងគ្រោះត្រូវបានរកឃើញ។ បច្ចុប្បន្នមិនត្រូវបានណែនាំសម្រាប់ការប្រើប្រាស់ទេ។
EAP-TLS ត្រូវបានគាំទ្រយ៉ាងល្អក្នុងចំណោមអ្នកលក់ឥតខ្សែ។ វាគឺជាពិធីការដែលមានសុវត្ថិភាព ព្រោះវាជាអ្នកស្នងតាមស្តង់ដារ SSL។ ការដំឡើងអតិថិជនគឺស្មុគស្មាញណាស់។ អ្នកត្រូវការវិញ្ញាបនបត្រអតិថិជនបន្ថែមលើពាក្យសម្ងាត់។ គាំទ្រលើប្រព័ន្ធជាច្រើន។
EAP-TTLS - គាំទ្រយ៉ាងទូលំទូលាយនៅលើប្រព័ន្ធជាច្រើន ផ្តល់នូវសុវត្ថិភាពល្អដោយប្រើវិញ្ញាបនបត្រ PKI តែនៅលើម៉ាស៊ីនមេផ្ទៀងផ្ទាត់
EAP-MD5 គឺជាស្តង់ដារបើកចំហមួយផ្សេងទៀត។ ផ្តល់សុវត្ថិភាពតិចតួចបំផុត។ ងាយរងគ្រោះ មិនគាំទ្រការផ្ទៀងផ្ទាត់គ្នាទៅវិញទៅមក និងការបង្កើតកូនសោ
EAP-IKEv2 - ផ្អែកលើ Internet Key Exchange Protocol កំណែ 2. ផ្តល់នូវការផ្ទៀងផ្ទាត់គ្នាទៅវិញទៅមក និងការបង្កើតសោសម័យរវាងអតិថិជន និងម៉ាស៊ីនមេ
PEAP គឺជាដំណោះស្រាយរួមរបស់ CISCO, Microsoft និង RSA Security ជាស្តង់ដារបើកចំហ។ មានយ៉ាងទូលំទូលាយនៅក្នុងផលិតផល, ផ្តល់នូវសុវត្ថិភាពល្អណាស់។ ស្រដៀងទៅនឹង EAP-TTLS ដែលទាមទារតែវិញ្ញាបនបត្រនៅផ្នែកខាងម៉ាស៊ីនមេប៉ុណ្ណោះ។
PEAPv0/EAP-MSCHAPv2 - បន្ទាប់ពី EAP-TLS នេះគឺជាស្តង់ដារទីពីរដែលត្រូវបានប្រើប្រាស់យ៉ាងទូលំទូលាយនៅលើពិភពលោក។ បានប្រើទំនាក់ទំនងអតិថិជន-ម៉ាស៊ីនមេនៅក្នុង Microsoft, Cisco, Apple, Linux
PEAPv1/EAP-GTC - បង្កើតដោយ Cisco ជាជម្រើសជំនួស PEAPv0/EAP-MSCHAPv2។ មិនការពារទិន្នន័យផ្ទៀងផ្ទាត់តាមមធ្យោបាយណាមួយឡើយ។ មិនគាំទ្រនៅលើប្រព័ន្ធប្រតិបត្តិការ Windows
EAP-FAST គឺជាបច្ចេកទេសមួយដែលត្រូវបានបង្កើតឡើងដោយ Cisco ដើម្បីកែតម្រូវចំណុចខ្វះខាតរបស់ LEAP ។ ប្រើការការពារការចូលប្រើប្រាស់ព័ត៌មានសម្ងាត់ (PAC) ។ មិនទាន់ចប់សព្វគ្រប់

ក្នុងចំណោមភាពចម្រុះទាំងអស់នេះ ជម្រើសនៅតែមិនអស្ចារ្យ។ វិធីសាស្ត្រផ្ទៀងផ្ទាត់ត្រូវបានទាមទារ៖ សុវត្ថិភាពល្អ ការគាំទ្រលើគ្រប់ឧបករណ៍ទាំងអស់ (Windows 10, macOS, Linux, Android, iOS) ហើយតាមពិតទៅ កាន់តែសាមញ្ញ កាន់តែប្រសើរ។ ដូច្នេះជម្រើសបានធ្លាក់លើ EAP-TTLS ដោយភ្ជាប់ជាមួយពិធីការ PAP ។
សំណួរអាចកើតឡើង - ហេតុអ្វីបានជាប្រើ PAP? បន្ទាប់ពីបានទាំងអស់, វាបញ្ជូនពាក្យសម្ងាត់នៅក្នុងអត្ថបទច្បាស់លាស់?

បាទវាគឺត្រឹមត្រូវ។ ការទំនាក់ទំនងរវាង FreeRadius និង FreeIPA នឹងប្រព្រឹត្តទៅតាមរបៀបនេះ។ នៅក្នុងរបៀបបំបាត់កំហុស អ្នកអាចតាមដានពីរបៀបដែលឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់ត្រូវបានផ្ញើ។ បាទ/ចាស ហើយអនុញ្ញាតឱ្យពួកគេទៅ មានតែអ្នកទេដែលអាចចូលប្រើម៉ាស៊ីនមេ FreeRadius ។

អ្នកអាចអានបន្ថែមអំពីការងាររបស់ EAP-TTLS នៅទីនេះ

FreeRADIUS

FreeRadius នឹងត្រូវបានលើកឡើងនៅលើ CentOS 7.6 ។ មិនមានអ្វីស្មុគស្មាញនៅទីនេះទេយើងកំណត់វាតាមរបៀបធម្មតា។

yum install freeradius freeradius-utils freeradius-ldap -y

កំណែ 3.0.13 ត្រូវបានដំឡើងពីកញ្ចប់។ ក្រោយមកទៀតអាចត្រូវបានគេយក https://freeradius.org/

បន្ទាប់ពីនោះ FreeRadius កំពុងដំណើរការហើយ។ អ្នកអាចមិនបញ្ចេញមតិលើបន្ទាត់ក្នុង /etc/raddb/users

steve   Cleartext-Password := "testing"

បើកដំណើរការទៅកាន់ម៉ាស៊ីនមេក្នុងរបៀបបំបាត់កំហុស

freeradius -X

ហើយធ្វើការតភ្ជាប់សាកល្បងពី localhost

radtest steve testing 127.0.0.1 1812 testing123

ទទួលបានចម្លើយ បានទទួល លេខសម្គាល់ 115 ពី 127.0.0.1:1812 ដល់ 127.0.0.1:56081 ប្រវែង 20វាមានន័យថាអ្វីគ្រប់យ៉ាងគឺយល់ព្រម។ ទៅពេលខាងមុខ។

យើងភ្ជាប់ម៉ូឌុល ឡាដាប់.

ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

ហើយយើងនឹងផ្លាស់ប្តូរវាភ្លាមៗ។ យើងត្រូវការ FreeRadius ដើម្បីអាចចូលប្រើ FreeIPA

mods-enabled/ldap

ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...

ចាប់ផ្ដើមម៉ាស៊ីនមេកាំឡើងវិញ ហើយពិនិត្យមើលការធ្វើសមកាលកម្មរបស់អ្នកប្រើ LDAP៖

radtest user_ldap password_ldap localhost 1812 testing123

ការកែសម្រួល eap in mods-enabled/eap
នៅទីនេះយើងបន្ថែមឧទាហរណ៍ពីរនៃ eap ។ ពួកវានឹងខុសគ្នាតែក្នុងវិញ្ញាបនបត្រ និងសោ។ ខាងក្រោមនេះខ្ញុំនឹងពន្យល់ថាហេតុអ្វីបានជាដូច្នេះ។

mods-enabled/eap

eap eap-client {                                                                                                                                                                                                                           default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_file = ${certdir}/fisrt.key
           certificate_file = ${certdir}/first.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}
eap eap-guest {
default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_passwotd=blablabla
           private_key_file = ${certdir}/server.key
           certificate_file = ${certdir}/server.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}

ការកែសម្រួលបន្ថែម site-enabled/default. ផ្នែកផ្តល់សិទ្ធិ និងផ្ទៀងផ្ទាត់គឺមានការចាប់អារម្មណ៍។

site-enabled/default

authorize {
  filter_username
  preprocess
  if (&User-Name == "guest") {
   eap-guest {
       ok = return
   }
  }
  elsif (&User-Name == "client") {
    eap-client {
       ok = return 
    }
  }
  else {
    eap-guest {
       ok = return
    }
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  logintime
  pap
  }

authenticate {
  Auth-Type LDAP {
    ldap
  }
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  pap
}

នៅក្នុងផ្នែកអនុញ្ញាត យើងដកម៉ូឌុលទាំងអស់ដែលយើងមិនត្រូវការ។ យើងទុកតែ ldap ។ បន្ថែមការផ្ទៀងផ្ទាត់អតិថិជនតាមឈ្មោះអ្នកប្រើប្រាស់។ នោះហើយជាមូលហេតុដែលយើងបន្ថែមឧទាហរណ៍ពីរនៃ eap ខាងលើ។

ពហុ EAPការពិតគឺថានៅពេលភ្ជាប់ឧបករណ៍មួយចំនួនយើងនឹងប្រើវិញ្ញាបនបត្រប្រព័ន្ធនិងបញ្ជាក់ដែន។ យើងមានវិញ្ញាបនបត្រ និងសោរពីអាជ្ញាធរវិញ្ញាបនបត្រដែលអាចទុកចិត្តបាន។ ដោយផ្ទាល់ តាមគំនិតរបស់ខ្ញុំ នីតិវិធីនៃការតភ្ជាប់បែបនេះគឺងាយស្រួលជាងការបោះវិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯងនៅលើឧបករណ៍នីមួយៗ។ ប៉ុន្តែទោះបីជាមិនមានវិញ្ញាបនបត្រចុះហត្ថលេខាដោយខ្លួនឯងក៏ដោយក៏វានៅតែមិនដំណើរការ។ ឧបករណ៍ Samsung និង Android =< កំណែ 6 មិនអាចប្រើវិញ្ញាបនបត្រប្រព័ន្ធបានទេ។ ដូច្នេះហើយ យើងបង្កើតឧទាហរណ៍ដាច់ដោយឡែកមួយនៃ eap-guest សម្រាប់ពួកគេជាមួយនឹងវិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯង។ សម្រាប់ឧបករណ៍ផ្សេងទៀតទាំងអស់ យើងនឹងប្រើ eap-client ជាមួយនឹងវិញ្ញាបនបត្រដែលអាចទុកចិត្តបាន។ ឈ្មោះអ្នកប្រើត្រូវបានកំណត់ដោយវាលអនាមិកនៅពេលដែលឧបករណ៍ត្រូវបានភ្ជាប់។ មានតែតម្លៃ 3 ត្រូវបានអនុញ្ញាត៖ ភ្ញៀវ អតិថិជន និងវាលទទេ។ អ្វីៗផ្សេងទៀតត្រូវបានបោះចោល។ វានឹងត្រូវបានកំណត់រចនាសម្ព័ន្ធនៅក្នុងអ្នកនយោបាយ។ ខ្ញុំនឹងលើកឧទាហរណ៍បន្តិចក្រោយមក។

តោះកែសម្រួលផ្នែកផ្តល់សិទ្ធិ និងផ្ទៀងផ្ទាត់ផ្នែកនៅក្នុង site-enabled/inner-tunnel

site-enabled/inner-tunnel

authorize {
  filter_username
  filter_inner_identity
  update control {
   &Proxy-To-Realm := LOCAL
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  digest
  logintime
  pap
  }

authenticate {
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  Auth-Type PAP {
    pap
  }
  ldap
}

បន្ទាប់មកអ្នកត្រូវបញ្ជាក់នៅក្នុងគោលការណ៍ដែលឈ្មោះអាចត្រូវបានប្រើសម្រាប់ការចូលដោយអនាមិក។ ការកែសម្រួល policy.d/filter.

អ្នកត្រូវស្វែងរកបន្ទាត់ស្រដៀងគ្នានេះ៖

if (&outer.request:User-Name !~ /^(anon|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

ហើយខាងក្រោមនៅក្នុង elsif បន្ថែមតម្លៃដែលចង់បាន៖

elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

ឥឡូវនេះយើងត្រូវផ្លាស់ទីទៅថត សេចក្តីយោង. នៅទីនេះអ្នកត្រូវដាក់សោ និងវិញ្ញាបនបត្រពីអាជ្ញាធរវិញ្ញាបនបត្រដែលអាចទុកចិត្តបាន ដែលយើងមានរួចហើយ ហើយត្រូវការបង្កើតវិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯងសម្រាប់ eap-guest ។

ផ្លាស់ប្តូរប៉ារ៉ាម៉ែត្រនៅក្នុងឯកសារ ca.cnf.

ca.cnf


...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"

យើងសរសេរតម្លៃដូចគ្នានៅក្នុងឯកសារ server.cnf. យើងផ្លាស់ប្តូរតែប៉ុណ្ណោះ
ឈ្មោះទូទៅ:

server.cnf


...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"

បង្កើត:

make

រួចរាល់។ បានទទួល server.crt и server.key យើងបានចុះឈ្មោះរួចហើយនៅ eap-guest ។

ហើយចុងក្រោយ ចូរយើងបន្ថែមចំណុចចូលដំណើរការរបស់យើងទៅឯកសារ client.conf. ខ្ញុំមាន 7 ក្នុងចំណោមពួកគេ។ ដើម្បីមិនបន្ថែមចំណុចនីមួយៗដាច់ដោយឡែក យើងនឹងសរសេរតែបណ្តាញដែលពួកគេស្ថិតនៅ (ចំណុចចូលប្រើរបស់ខ្ញុំគឺនៅក្នុង VLAN ដាច់ដោយឡែក)។

client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}

ឧបករណ៍បញ្ជា Ubiquiti

យើងលើកបណ្តាញដាច់ដោយឡែកមួយនៅលើឧបករណ៍បញ្ជា។ សូមឱ្យវាជា 192.168.2.0/24
ចូលទៅកាន់ការកំណត់ -> ប្រវត្តិរូប។ តោះបង្កើតថ្មី៖

យើងសរសេរអាសយដ្ឋាន និងច្រកនៃម៉ាស៊ីនបម្រើកាំ និងពាក្យសម្ងាត់ដែលត្រូវបានសរសេរនៅក្នុងឯកសារ clients.conf:

បង្កើតឈ្មោះបណ្តាញឥតខ្សែថ្មី។ ជ្រើសរើស WPA-EAP (សហគ្រាស) ជាវិធីសាស្ត្រផ្ទៀងផ្ទាត់ ហើយបញ្ជាក់ទម្រង់កាំដែលបានបង្កើត៖

យើងរក្សាទុកអ្វីគ្រប់យ៉ាង អនុវត្ត និងបន្តទៅមុខទៀត។

ការដំឡើងអតិថិជន

ចូរចាប់ផ្តើមជាមួយនឹងការលំបាកបំផុត!

ប្រព័ន្ធប្រតិបត្តិការ Windows 10

ការលំបាកកើតឡើងដោយសារតែ Windows មិនទាន់ដឹងពីរបៀបភ្ជាប់ WiFi របស់ក្រុមហ៊ុនតាមរយៈដែន។ ដូច្នេះហើយ យើងត្រូវតែបង្ហោះវិញ្ញាបនបត្ររបស់យើងដោយដៃទៅកន្លែងផ្ទុកវិញ្ញាបនបត្រដែលអាចទុកចិត្តបាន។ នៅទីនេះអ្នកអាចប្រើទាំងការចុះហត្ថលេខាដោយខ្លួនឯង និងពីអាជ្ញាធរបញ្ជាក់។ ខ្ញុំនឹងប្រើទីពីរ។

បន្ទាប់អ្នកត្រូវបង្កើតការតភ្ជាប់ថ្មី។ ដើម្បីធ្វើដូច្នេះ សូមចូលទៅកាន់ការកំណត់បណ្តាញ និងអ៊ីនធឺណិត -> បណ្តាញ និងមជ្ឈមណ្ឌលចែករំលែក -> បង្កើត និងកំណត់រចនាសម្ព័ន្ធការតភ្ជាប់ ឬបណ្តាញថ្មី៖

បញ្ចូលឈ្មោះបណ្តាញដោយដៃ ហើយប្តូរប្រភេទសុវត្ថិភាព។ បន្ទាប់ពីយើងចុចលើ ផ្លាស់ប្តូរការកំណត់ការតភ្ជាប់ ហើយនៅក្នុងផ្ទាំងសុវត្ថិភាព សូមជ្រើសរើសការផ្ទៀងផ្ទាត់បណ្តាញ - EAP-TTLS ។

យើងចូលទៅក្នុងប៉ារ៉ាម៉ែត្រ, ចេញវេជ្ជបញ្ជាការសម្ងាត់នៃការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ - អតិថិជន. ក្នុងនាមជាអាជ្ញាធរបញ្ជាក់ដែលអាចទុកចិត្តបាន សូមជ្រើសរើសវិញ្ញាបនបត្រដែលយើងបានបន្ថែម ធីកប្រអប់ "កុំចេញលិខិតអញ្ជើញដល់អ្នកប្រើប្រាស់ ប្រសិនបើម៉ាស៊ីនមេមិនអាចអនុញ្ញាតបាន" ហើយជ្រើសរើសវិធីសាស្ត្រផ្ទៀងផ្ទាត់ - ពាក្យសម្ងាត់ដែលមិនបានអ៊ិនគ្រីប (PAP)។

បន្ទាប់មកចូលទៅកាន់ការកំណត់កម្រិតខ្ពស់ដាក់សញ្ញាធីកនៅលើ "បញ្ជាក់របៀបផ្ទៀងផ្ទាត់" ។ ជ្រើសរើស "ការផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់" ហើយចុចលើ រក្សាទុកព័ត៌មានសម្ងាត់. នៅទីនេះអ្នកនឹងត្រូវបញ្ចូល username_ldap និង password_ldap

យើងរក្សាទុកអ្វីគ្រប់យ៉ាង អនុវត្ត បិទ។ អ្នកអាចភ្ជាប់ទៅបណ្តាញថ្មី។

Linux

ខ្ញុំបានសាកល្បងនៅលើអ៊ូប៊ុនទូ 18.04, 18.10, Fedora 29, 30 ។

ជាដំបូង សូមទាញយកវិញ្ញាបនបត្ររបស់យើង។ ខ្ញុំមិនបានរកឃើញនៅក្នុងលីនុចថាតើវាអាចទៅរួចក្នុងការប្រើប្រាស់វិញ្ញាបនបត្រប្រព័ន្ធ និងថាតើមានហាងបែបនេះទាល់តែសោះ។

តោះភ្ជាប់ទៅដែន។ ដូច្នេះហើយ យើងត្រូវការវិញ្ញាបនបត្រពីអាជ្ញាធរបញ្ជាក់ ដែលវិញ្ញាបនបត្ររបស់យើងត្រូវបានទិញ។

ការតភ្ជាប់ទាំងអស់ត្រូវបានធ្វើឡើងនៅក្នុងបង្អួចមួយ។ ការជ្រើសរើសបណ្តាញរបស់យើង៖

អនាមិក-អតិថិជន
domain - ដែនដែលវិញ្ញាបនបត្រត្រូវបានចេញ

ប្រព័ន្ធប្រតិបត្តិការ Android

មិនមែន Samsung

ចាប់ពីកំណែ 7 នៅពេលភ្ជាប់ WiFi អ្នកអាចប្រើវិញ្ញាបនបត្រប្រព័ន្ធដោយបញ្ជាក់តែដែន៖

domain - ដែនដែលវិញ្ញាបនបត្រត្រូវបានចេញ
អនាមិក-អតិថិជន

ក្រុមហ៊ុន Samsung

ដូចដែលខ្ញុំបានសរសេរខាងលើ ឧបករណ៍ Samsung មិនដឹងពីរបៀបប្រើវិញ្ញាបនបត្រប្រព័ន្ធនៅពេលភ្ជាប់ទៅ WiFi ហើយពួកគេមិនមានលទ្ធភាពតភ្ជាប់តាមរយៈដែន។ ដូច្នេះហើយ អ្នកត្រូវតែបន្ថែមវិញ្ញាបនបត្រឫសគល់នៃអាជ្ញាធរវិញ្ញាបនប័ត្រដោយដៃ (ca.pem យើងយកវានៅលើម៉ាស៊ីនមេ Radius)។ នេះជាកន្លែងដែលការចុះហត្ថលេខាដោយខ្លួនឯងនឹងត្រូវបានប្រើ។

ទាញយកវិញ្ញាបនបត្រទៅឧបករណ៍របស់អ្នក ហើយដំឡើងវា។

ការដំឡើងវិញ្ញាបនបត្រ

ក្នុងពេលជាមួយគ្នានេះ អ្នកនឹងត្រូវកំណត់លំនាំដោះសោអេក្រង់ កូដ PIN ឬពាក្យសម្ងាត់ ប្រសិនបើវាមិនត្រូវបានកំណត់រួចហើយ៖

ខ្ញុំបានបង្ហាញកំណែស្មុគស្មាញនៃការដំឡើងវិញ្ញាបនបត្រ។ នៅលើឧបករណ៍ភាគច្រើន គ្រាន់តែចុចលើវិញ្ញាបនបត្រដែលបានទាញយក។

នៅពេលវិញ្ញាបនបត្រត្រូវបានដំឡើង អ្នកអាចបន្តទៅការតភ្ជាប់៖

វិញ្ញាបនបត្រ - ចង្អុលបង្ហាញមួយដែលអ្នកបានដំឡើង
អ្នកប្រើប្រាស់អនាមិក - ភ្ញៀវ

MacOS

ឧបករណ៍ Apple ចេញពីប្រអប់អាចភ្ជាប់ទៅ EAP-TLS ប៉ុណ្ណោះ ប៉ុន្តែអ្នកនៅតែត្រូវបោះវិញ្ញាបនបត្រឱ្យពួកគេ។ ដើម្បីបញ្ជាក់វិធីសាស្ត្រភ្ជាប់ផ្សេង អ្នកត្រូវប្រើ Apple Configurator 2។ ដូច្នេះហើយ ដំបូងអ្នកត្រូវតែទាញយកវាទៅ Mac របស់អ្នក បង្កើតទម្រង់ថ្មី និងបន្ថែមការកំណត់ WiFi ចាំបាច់ទាំងអស់។

Apple Configurator

បញ្ចូលឈ្មោះបណ្តាញរបស់អ្នកនៅទីនេះ
ប្រភេទសុវត្ថិភាព - សហគ្រាស WPA2
ប្រភេទ EAP ដែលទទួលយក - TTLS
ឈ្មោះអ្នកប្រើនិងពាក្យសម្ងាត់ - ទុកទទេ
ការផ្ទៀងផ្ទាត់ខាងក្នុង - PAP
អត្តសញ្ញាណខាងក្រៅ-អតិថិជន

ផ្ទាំងទុកចិត្ត។ នៅទីនេះយើងបញ្ជាក់ដែនរបស់យើង។

ទាំងអស់។ ទម្រង់អាចត្រូវបានរក្សាទុក ចុះហត្ថលេខា និងចែកចាយទៅកាន់ឧបករណ៍

បន្ទាប់ពីទម្រង់រួចរាល់ អ្នកត្រូវទាញយកវាទៅអាភៀន ហើយដំឡើងវា។ ក្នុងអំឡុងពេលដំណើរការដំឡើង អ្នកនឹងត្រូវបញ្ជាក់ usernmae_ldap និង password_ldap របស់អ្នកប្រើប្រាស់៖

ប្រព័ន្ធប្រតិបត្តិការ iOS

ដំណើរការគឺស្រដៀងនឹង macOS ។ អ្នកត្រូវប្រើទម្រង់ (អ្នកអាចប្រើដូចគ្នានឹង macOS ដែរ។ សូមមើលខាងលើសម្រាប់របៀបបង្កើតទម្រង់ក្នុង Apple Configurator)។

ទាញយកប្រវត្តិរូប ដំឡើង បញ្ចូលព័ត៌មានសម្ងាត់ ភ្ជាប់៖

អស់ហើយ។ យើងដំឡើងម៉ាស៊ីនមេ Radius ធ្វើសមកាលកម្មវាជាមួយ FreeIPA ហើយបានប្រាប់ Ubiquiti APs ឱ្យប្រើ WPA2-EAP ។

សំណួរដែលអាចកើតមាន

ក្នុង៖ តើធ្វើដូចម្តេចដើម្បីផ្ទេរប្រវត្តិរូប / វិញ្ញាបនបត្រទៅបុគ្គលិក?

អំពី: ខ្ញុំរក្សាទុកវិញ្ញាបនបត្រ/កម្រងព័ត៌មានទាំងអស់នៅលើ ftp ជាមួយនឹងការចូលប្រើគេហទំព័រ។ បានដំឡើងបណ្តាញភ្ញៀវដែលមានដែនកំណត់ល្បឿន និងចូលប្រើអ៊ីនធឺណិតតែប៉ុណ្ណោះ លើកលែងតែ ftp ។
ការផ្ទៀងផ្ទាត់មានរយៈពេល 2 ថ្ងៃ បន្ទាប់ពីនោះវាត្រូវបានកំណត់ឡើងវិញ ហើយអតិថិជនត្រូវបានទុកចោលដោយគ្មានអ៊ីនធឺណិត។ នោះ។ នៅពេលដែលនិយោជិតចង់ភ្ជាប់ WiFi ដំបូងគាត់ភ្ជាប់ទៅបណ្តាញភ្ញៀវ ចូលប្រើ FTP ទាញយកវិញ្ញាបនបត្រ ឬទម្រង់ដែលគាត់ត្រូវការ ដំឡើងវា ហើយបន្ទាប់មកអាចភ្ជាប់ទៅបណ្តាញសាជីវកម្ម។

ក្នុង៖ ហេតុអ្វីមិនប្រើគ្រោងការណ៍ជាមួយ MSCHAPv2? វាមានសុវត្ថិភាពជាង!

អំពី: ទីមួយ គ្រោងការណ៍បែបនេះដំណើរការបានល្អនៅលើ NPS (ប្រព័ន្ធគោលការណ៍បណ្តាញវីនដូ) នៅក្នុងការអនុវត្តរបស់យើង ចាំបាច់ត្រូវកំណត់រចនាសម្ព័ន្ធ LDAP (FreeIpa) និងរក្សាទុកលេខសម្ងាត់នៅលើម៉ាស៊ីនមេ។ បន្ថែម។ វាមិនត្រូវបានណែនាំឱ្យធ្វើការកំណត់ទេ ពីព្រោះ។ នេះអាចនាំឱ្យមានបញ្ហាផ្សេងៗនៃការធ្វើសមកាលកម្មអ៊ុលត្រាសោន។ ទីពីរ hash គឺ MD4 ដូច្នេះវាមិនបន្ថែមសុវត្ថិភាពច្រើនទេ។

ក្នុង៖ តើអាចអនុញ្ញាតឧបករណ៍ដោយ mac-addresses បានទេ?

អំពី: ទេ វាមិនមានសុវត្ថិភាពទេ អ្នកវាយប្រហារអាចក្លែងបន្លំអាសយដ្ឋាន MAC ហើយលើសពីនេះទៀត ការអនុញ្ញាតដោយអាសយដ្ឋាន MAC មិនត្រូវបានគាំទ្រនៅលើឧបករណ៍ជាច្រើន

ក្នុង៖ ជាទូទៅ តើវិញ្ញាបនបត្រទាំងអស់នេះត្រូវប្រើអ្វី? តើអ្នកអាចចូលរួមដោយគ្មានពួកគេបានទេ?

អំពី: វិញ្ញាបនបត្រត្រូវបានប្រើដើម្បីផ្តល់សិទ្ធិដល់ម៉ាស៊ីនមេ។ ទាំងនោះ។ នៅពេលភ្ជាប់ ឧបករណ៍ពិនិត្យមើលថាតើវាជាម៉ាស៊ីនមេដែលអាចទុកចិត្តបានឬអត់។ ប្រសិនបើមែននោះ ការផ្ទៀងផ្ទាត់នឹងបន្ត បើមិនដូច្នេះទេ ការតភ្ជាប់ត្រូវបានបិទ។ អ្នកអាចភ្ជាប់ដោយគ្មានវិញ្ញាបនបត្រ ប៉ុន្តែប្រសិនបើអ្នកវាយប្រហារ ឬអ្នកជិតខាងបង្កើតម៉ាស៊ីនមេកាំ និងចំណុចចូលប្រើដែលមានឈ្មោះដូចគ្នានឹងយើងនៅផ្ទះ គាត់អាចស្ទាក់ចាប់ព័ត៌មានសម្ងាត់របស់អ្នកប្រើបានយ៉ាងងាយស្រួល (កុំភ្លេចថាពួកវាត្រូវបានបញ្ជូនជាអត្ថបទច្បាស់លាស់)។ ហើយនៅពេលដែលវិញ្ញាបនបត្រត្រូវបានប្រើ សត្រូវនឹងឃើញនៅក្នុងកំណត់ហេតុរបស់គាត់តែឈ្មោះអ្នកប្រើប្រឌិតរបស់យើងប៉ុណ្ណោះ - ភ្ញៀវ ឬអតិថិជន និងប្រភេទកំហុសមួយ - មិនស្គាល់ CA Certificate

បន្តិចទៀតអំពី macOSជាធម្មតានៅលើ macOS ការដំឡើងប្រព័ន្ធឡើងវិញត្រូវបានធ្វើឡើងតាមរយៈអ៊ីនធឺណិត។ នៅក្នុងរបៀបសង្គ្រោះ Mac ត្រូវតែភ្ជាប់ទៅ WiFi ហើយទាំង WiFi របស់ក្រុមហ៊ុនយើង និងបណ្តាញភ្ញៀវនឹងមិនដំណើរការនៅទីនេះទេ។ ដោយផ្ទាល់ ខ្ញុំបានលើកបណ្តាញមួយទៀតគឺ WPA2-PSK ធម្មតា ដែលលាក់ទុកសម្រាប់តែប្រតិបត្តិការបច្ចេកទេសប៉ុណ្ណោះ។ ឬអ្នកនៅតែអាចបង្កើត USB flash drive ដែលអាចចាប់ផ្តើមបានជាមួយប្រព័ន្ធជាមុន។ ប៉ុន្តែប្រសិនបើអាភៀនគឺបន្ទាប់ពីឆ្នាំ 2015 អ្នកនឹងនៅតែត្រូវស្វែងរកអាដាប់ទ័រសម្រាប់ដ្រាយវ៍ពន្លឺនេះ)

ប្រភព: www.habr.com

សហគ្រាសវ៉ាយហ្វាយ។ FreeRadius + FreeIPA + Ubiquiti