ಕಾರ್ಪೊರೇಟ್ ವೈಫೈ ಅನ್ನು ಸಂಘಟಿಸುವ ಕೆಲವು ಉದಾಹರಣೆಗಳನ್ನು ಈಗಾಗಲೇ ವಿವರಿಸಲಾಗಿದೆ. ಅಂತಹ ಪರಿಹಾರವನ್ನು ನಾನು ಹೇಗೆ ಕಾರ್ಯಗತಗೊಳಿಸಿದ್ದೇನೆ ಮತ್ತು ವಿವಿಧ ಸಾಧನಗಳಲ್ಲಿ ಸಂಪರ್ಕಿಸುವಾಗ ನಾನು ಎದುರಿಸಿದ ಸಮಸ್ಯೆಗಳನ್ನು ಇಲ್ಲಿ ವಿವರಿಸುತ್ತೇನೆ. ಸ್ಥಾಪಿತ ಬಳಕೆದಾರರೊಂದಿಗೆ ನಾವು ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ LDAP ಅನ್ನು ಬಳಸುತ್ತೇವೆ, FreeRadius ಅನ್ನು ಸ್ಥಾಪಿಸುತ್ತೇವೆ ಮತ್ತು Ubnt ನಿಯಂತ್ರಕದಲ್ಲಿ WPA2-ಎಂಟರ್ಪ್ರೈಸ್ ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡುತ್ತೇವೆ. ಎಲ್ಲವೂ ಸರಳವೆಂದು ತೋರುತ್ತದೆ. ನೋಡೋಣ…
EAP ವಿಧಾನಗಳ ಬಗ್ಗೆ ಸ್ವಲ್ಪ
ನಾವು ಕೆಲಸವನ್ನು ಪ್ರಾರಂಭಿಸುವ ಮೊದಲು, ನಮ್ಮ ಪರಿಹಾರದಲ್ಲಿ ನಾವು ಯಾವ ದೃಢೀಕರಣ ವಿಧಾನವನ್ನು ಬಳಸುತ್ತೇವೆ ಎಂಬುದನ್ನು ನಾವು ನಿರ್ಧರಿಸಬೇಕು.
ವಿಕಿಪೀಡಿಯಾದಿಂದ:
EAP ಒಂದು ದೃಢೀಕರಣ ಚೌಕಟ್ಟಾಗಿದ್ದು ಇದನ್ನು ವೈರ್ಲೆಸ್ ನೆಟ್ವರ್ಕ್ಗಳು ಮತ್ತು ಪಾಯಿಂಟ್-ಟು-ಪಾಯಿಂಟ್ ಸಂಪರ್ಕಗಳಲ್ಲಿ ಹೆಚ್ಚಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ. ಸ್ವರೂಪವನ್ನು ಮೊದಲು RFC 3748 ರಲ್ಲಿ ವಿವರಿಸಲಾಗಿದೆ ಮತ್ತು RFC 5247 ನಲ್ಲಿ ನವೀಕರಿಸಲಾಗಿದೆ.
EAP ಅನ್ನು ದೃಢೀಕರಣ ವಿಧಾನವನ್ನು ಆಯ್ಕೆ ಮಾಡಲು, ಕೀಗಳನ್ನು ವರ್ಗಾಯಿಸಲು ಮತ್ತು EAP ವಿಧಾನಗಳೆಂದು ಕರೆಯಲ್ಪಡುವ ಪ್ಲಗಿನ್ಗಳ ಮೂಲಕ ಆ ಕೀಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ. ಹಲವು EAP ವಿಧಾನಗಳಿವೆ, ಇವೆರಡನ್ನೂ EAP ಯಿಂದಲೇ ವ್ಯಾಖ್ಯಾನಿಸಲಾಗಿದೆ ಮತ್ತು ವೈಯಕ್ತಿಕ ಮಾರಾಟಗಾರರಿಂದ ಬಿಡುಗಡೆ ಮಾಡಲಾಗಿದೆ. EAP ಲಿಂಕ್ ಲೇಯರ್ ಅನ್ನು ವ್ಯಾಖ್ಯಾನಿಸುವುದಿಲ್ಲ, ಇದು ಸಂದೇಶ ಸ್ವರೂಪವನ್ನು ಮಾತ್ರ ವ್ಯಾಖ್ಯಾನಿಸುತ್ತದೆ. EAP ಬಳಸುವ ಪ್ರತಿಯೊಂದು ಪ್ರೋಟೋಕಾಲ್ ತನ್ನದೇ ಆದ EAP ಸಂದೇಶ ಎನ್ಕ್ಯಾಪ್ಸುಲೇಶನ್ ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಹೊಂದಿದೆ.
ವಿಧಾನಗಳು ಸ್ವತಃ:
- LEAP ಎಂಬುದು CISCO ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ ಸ್ವಾಮ್ಯದ ಪ್ರೋಟೋಕಾಲ್ ಆಗಿದೆ. ದೋಷಗಳು ಕಂಡುಬಂದಿವೆ. ಪ್ರಸ್ತುತ ಬಳಕೆಗೆ ಶಿಫಾರಸು ಮಾಡಲಾಗಿಲ್ಲ
- EAP-TLS ವೈರ್ಲೆಸ್ ಮಾರಾಟಗಾರರಲ್ಲಿ ಉತ್ತಮವಾಗಿ ಬೆಂಬಲಿತವಾಗಿದೆ. ಇದು ಸುರಕ್ಷಿತ ಪ್ರೋಟೋಕಾಲ್ ಆಗಿದೆ ಏಕೆಂದರೆ ಇದು SSL ಮಾನದಂಡಗಳಿಗೆ ಉತ್ತರಾಧಿಕಾರಿಯಾಗಿದೆ. ಕ್ಲೈಂಟ್ ಅನ್ನು ಹೊಂದಿಸುವುದು ತುಂಬಾ ಜಟಿಲವಾಗಿದೆ. ಪಾಸ್ವರ್ಡ್ ಜೊತೆಗೆ ನಿಮಗೆ ಕ್ಲೈಂಟ್ ಪ್ರಮಾಣಪತ್ರದ ಅಗತ್ಯವಿದೆ. ಅನೇಕ ಸಿಸ್ಟಮ್ಗಳಲ್ಲಿ ಬೆಂಬಲಿತವಾಗಿದೆ
- EAP-TTLS - ಅನೇಕ ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿ ವ್ಯಾಪಕವಾಗಿ ಬೆಂಬಲಿತವಾಗಿದೆ, ದೃಢೀಕರಣ ಸರ್ವರ್ನಲ್ಲಿ ಮಾತ್ರ PKI ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಉತ್ತಮ ಭದ್ರತೆಯನ್ನು ನೀಡುತ್ತದೆ
- EAP-MD5 ಮತ್ತೊಂದು ಮುಕ್ತ ಮಾನದಂಡವಾಗಿದೆ. ಕನಿಷ್ಠ ಭದ್ರತೆಯನ್ನು ನೀಡುತ್ತದೆ. ದುರ್ಬಲ, ಪರಸ್ಪರ ದೃಢೀಕರಣ ಮತ್ತು ಕೀ ಉತ್ಪಾದನೆಯನ್ನು ಬೆಂಬಲಿಸುವುದಿಲ್ಲ
- EAP-IKEv2 - ಇಂಟರ್ನೆಟ್ ಕೀ ಎಕ್ಸ್ಚೇಂಜ್ ಪ್ರೋಟೋಕಾಲ್ ಆವೃತ್ತಿ 2 ಅನ್ನು ಆಧರಿಸಿದೆ. ಕ್ಲೈಂಟ್ ಮತ್ತು ಸರ್ವರ್ ನಡುವೆ ಪರಸ್ಪರ ದೃಢೀಕರಣ ಮತ್ತು ಸೆಷನ್ ಕೀ ಸ್ಥಾಪನೆಯನ್ನು ಒದಗಿಸುತ್ತದೆ
- PEAP ಎಂಬುದು CISCO, Microsoft ಮತ್ತು RSA ಸೆಕ್ಯುರಿಟಿ ನಡುವಿನ ಜಂಟಿ ಪರಿಹಾರವಾಗಿದೆ. ಉತ್ಪನ್ನಗಳಲ್ಲಿ ವ್ಯಾಪಕವಾಗಿ ಲಭ್ಯವಿದೆ, ಉತ್ತಮ ಸುರಕ್ಷತೆಯನ್ನು ಒದಗಿಸುತ್ತದೆ. EAP-TTLS ನಂತೆಯೇ, ಸರ್ವರ್-ಸೈಡ್ ಪ್ರಮಾಣಪತ್ರದ ಅಗತ್ಯವಿದೆ
- PEAPv0/EAP-MSCHAPv2 - EAP-TLS ನಂತರ, ಇದು ವಿಶ್ವದಲ್ಲಿ ಎರಡನೇ ವ್ಯಾಪಕವಾಗಿ ಬಳಸಲಾಗುವ ಮಾನದಂಡವಾಗಿದೆ. Microsoft, Cisco, Apple, Linux ನಲ್ಲಿ ಕ್ಲೈಂಟ್-ಸರ್ವರ್ ಸಂಬಂಧವನ್ನು ಬಳಸಲಾಗಿದೆ
- PEAPv1/EAP-GTC - PEAPv0/EAP-MSCHAPv2 ಗೆ ಪರ್ಯಾಯವಾಗಿ ಸಿಸ್ಕೋದಿಂದ ರಚಿಸಲಾಗಿದೆ. ಯಾವುದೇ ರೀತಿಯಲ್ಲಿ ದೃಢೀಕರಣ ಡೇಟಾವನ್ನು ರಕ್ಷಿಸುವುದಿಲ್ಲ. Windows OS ನಲ್ಲಿ ಬೆಂಬಲಿಸುವುದಿಲ್ಲ
- EAP-FAST ಎನ್ನುವುದು LEAP ನ ನ್ಯೂನತೆಗಳನ್ನು ಸರಿಪಡಿಸಲು ಸಿಸ್ಕೋ ಅಭಿವೃದ್ಧಿಪಡಿಸಿದ ವಿಧಾನವಾಗಿದೆ. ಸಂರಕ್ಷಿತ ಪ್ರವೇಶ ರುಜುವಾತುಗಳನ್ನು (PAC) ಬಳಸುತ್ತದೆ. ಸಂಪೂರ್ಣವಾಗಿ ಅಪೂರ್ಣ
ಈ ಎಲ್ಲಾ ವಿಧಗಳಲ್ಲಿ, ಆಯ್ಕೆಯು ಇನ್ನೂ ಉತ್ತಮವಾಗಿಲ್ಲ. ದೃಢೀಕರಣ ವಿಧಾನದ ಅಗತ್ಯವಿದೆ: ಉತ್ತಮ ಭದ್ರತೆ, ಎಲ್ಲಾ ಸಾಧನಗಳಲ್ಲಿ ಬೆಂಬಲ (Windows 10, macOS, Linux, Android, iOS) ಮತ್ತು, ವಾಸ್ತವವಾಗಿ, ಸರಳವಾದದ್ದು ಉತ್ತಮ. ಆದ್ದರಿಂದ, ಆಯ್ಕೆಯು PAP ಪ್ರೋಟೋಕಾಲ್ನೊಂದಿಗೆ EAP-TTLS ಮೇಲೆ ಬಿದ್ದಿತು.
ಪ್ರಶ್ನೆ ಉದ್ಭವಿಸಬಹುದು - PAP ಅನ್ನು ಏಕೆ ಬಳಸಬೇಕು? ಎಲ್ಲಾ ನಂತರ, ಇದು ಸ್ಪಷ್ಟ ಪಠ್ಯದಲ್ಲಿ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ರವಾನಿಸುತ್ತದೆ?
ಹೌದು ಅದು ಸರಿ. FreeRadius ಮತ್ತು FreeIPA ನಡುವಿನ ಸಂವಹನವು ನಿಖರವಾಗಿ ಈ ರೀತಿ ನಡೆಯುತ್ತದೆ. ಡೀಬಗ್ ಮೋಡ್ನಲ್ಲಿ, ಬಳಕೆದಾರಹೆಸರು ಮತ್ತು ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಹೇಗೆ ಕಳುಹಿಸಲಾಗಿದೆ ಎಂಬುದನ್ನು ನೀವು ಟ್ರ್ಯಾಕ್ ಮಾಡಬಹುದು. ಹೌದು, ಮತ್ತು ಅವುಗಳನ್ನು ಹೋಗಲಿ, ನೀವು ಮಾತ್ರ FreeRadius ಸರ್ವರ್ಗೆ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರುವಿರಿ.
EAP-TTLS ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಎಂಬುದರ ಕುರಿತು ನೀವು ಇನ್ನಷ್ಟು ಓದಬಹುದು
ಫ್ರೀರೇಡಿಯಸ್
ನಾವು FreeRadius ಅನ್ನು CentOS 7.6 ಗೆ ಅಪ್ಗ್ರೇಡ್ ಮಾಡುತ್ತೇವೆ. ಇಲ್ಲಿ ಸಂಕೀರ್ಣವಾದ ಏನೂ ಇಲ್ಲ, ನಾವು ಅದನ್ನು ಸಾಮಾನ್ಯ ರೀತಿಯಲ್ಲಿ ಸ್ಥಾಪಿಸುತ್ತೇವೆ.
yum install freeradius freeradius-utils freeradius-ldap -yಪ್ಯಾಕೇಜ್ಗಳಲ್ಲಿ, ಆವೃತ್ತಿ 3.0.13 ಅನ್ನು ಸ್ಥಾಪಿಸಲಾಗಿದೆ. ಎರಡನೆಯದನ್ನು ತೆಗೆದುಕೊಳ್ಳಬಹುದು
ಇದರ ನಂತರ, FreeRadius ಈಗಾಗಲೇ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತಿದೆ. ನೀವು /etc/raddb/users ನಲ್ಲಿ ಲೈನ್ ಅನ್ನು ಅನ್ಕಾಮೆಂಟ್ ಮಾಡಬಹುದು
steve Cleartext-Password := "testing"ಡೀಬಗ್ ಮೋಡ್ನಲ್ಲಿ ಸರ್ವರ್ಗೆ ಪ್ರಾರಂಭಿಸಿ
freeradius -Xಮತ್ತು ಲೋಕಲ್ ಹೋಸ್ಟ್ನಿಂದ ಪರೀಕ್ಷಾ ಸಂಪರ್ಕವನ್ನು ಮಾಡಿ
radtest steve testing 127.0.0.1 1812 testing123ನಾವು ಉತ್ತರವನ್ನು ಸ್ವೀಕರಿಸಿದ್ದೇವೆ 115:127.0.0.1 ರಿಂದ 1812:127.0.0.1 ಉದ್ದ 56081 ರವರೆಗೆ ಪ್ರವೇಶವನ್ನು ಸ್ವೀಕರಿಸಲಾಗಿದೆ-ಐಡಿ 20 ಅನ್ನು ಸ್ವೀಕರಿಸಲಾಗಿದೆ, ಎಲ್ಲವೂ ಸರಿಯಾಗಿದೆ ಎಂದರ್ಥ. ಮುಂದುವರೆಯಿರಿ.
ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಸಂಪರ್ಕಿಸಲಾಗುತ್ತಿದೆ ldap.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldapಮತ್ತು ನಾವು ಅದನ್ನು ತಕ್ಷಣ ಬದಲಾಯಿಸುತ್ತೇವೆ. FreeIPA ಅನ್ನು ಪ್ರವೇಶಿಸಲು ನಮಗೆ FreeRadius ಅಗತ್ಯವಿದೆ
mods-enabled/ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...ತ್ರಿಜ್ಯದ ಸರ್ವರ್ ಅನ್ನು ಮರುಪ್ರಾರಂಭಿಸಿ ಮತ್ತು LDAP ಬಳಕೆದಾರರ ಸಿಂಕ್ರೊನೈಸೇಶನ್ ಅನ್ನು ಪರಿಶೀಲಿಸಿ:
radtest user_ldap password_ldap localhost 1812 testing123
ಎಡಿಟ್ ಮಾಡಲಾಗುತ್ತಿದೆ mods-enabled/eap
ಇಲ್ಲಿ ನಾವು eap ನ ಎರಡು ನಿದರ್ಶನಗಳನ್ನು ಸೇರಿಸುತ್ತೇವೆ. ಅವು ಪ್ರಮಾಣಪತ್ರಗಳು ಮತ್ತು ಕೀಲಿಗಳಲ್ಲಿ ಮಾತ್ರ ಭಿನ್ನವಾಗಿರುತ್ತವೆ. ಇದು ಏಕೆ ನಿಜ ಎಂದು ನಾನು ಕೆಳಗೆ ವಿವರಿಸುತ್ತೇನೆ.
mods-enabled/eap
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}ಮುಂದೆ ನಾವು ಸಂಪಾದಿಸುತ್ತೇವೆ ಸೈಟ್-ಸಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ/ಡೀಫಾಲ್ಟ್. ವಿಭಾಗಗಳನ್ನು ದೃಢೀಕರಿಸಲು ಮತ್ತು ಪ್ರಮಾಣೀಕರಿಸಲು ನಾನು ಆಸಕ್ತಿ ಹೊಂದಿದ್ದೇನೆ.
ಸೈಟ್-ಸಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ/ಡೀಫಾಲ್ಟ್
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}ಅಧಿಕೃತ ವಿಭಾಗದಲ್ಲಿ ನಮಗೆ ಅಗತ್ಯವಿಲ್ಲದ ಎಲ್ಲಾ ಮಾಡ್ಯೂಲ್ಗಳನ್ನು ನಾವು ತೆಗೆದುಹಾಕುತ್ತೇವೆ. ನಾವು ldap ಅನ್ನು ಮಾತ್ರ ಬಿಡುತ್ತೇವೆ. ಬಳಕೆದಾರರ ಹೆಸರಿನ ಮೂಲಕ ಕ್ಲೈಂಟ್ ಪರಿಶೀಲನೆಯನ್ನು ಸೇರಿಸಿ. ಇದಕ್ಕಾಗಿಯೇ ನಾವು ಈಪ್ನ ಎರಡು ನಿದರ್ಶನಗಳನ್ನು ಮೇಲೆ ಸೇರಿಸಿದ್ದೇವೆ.
ಮಲ್ಟಿ ಇಎಪಿಸತ್ಯವೆಂದರೆ ಕೆಲವು ಸಾಧನಗಳನ್ನು ಸಂಪರ್ಕಿಸುವಾಗ ನಾವು ಸಿಸ್ಟಮ್ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಬಳಸುತ್ತೇವೆ ಮತ್ತು ಡೊಮೇನ್ ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುತ್ತೇವೆ. ನಾವು ವಿಶ್ವಾಸಾರ್ಹ ಪ್ರಮಾಣಪತ್ರ ಪ್ರಾಧಿಕಾರದಿಂದ ಪ್ರಮಾಣಪತ್ರ ಮತ್ತು ಕೀಲಿಯನ್ನು ಹೊಂದಿದ್ದೇವೆ. ವೈಯಕ್ತಿಕವಾಗಿ, ನನ್ನ ಅಭಿಪ್ರಾಯದಲ್ಲಿ, ಈ ಸಂಪರ್ಕ ವಿಧಾನವು ಪ್ರತಿ ಸಾಧನದಲ್ಲಿ ಸ್ವಯಂ-ಸಹಿ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಎಸೆಯುವುದಕ್ಕಿಂತ ಸರಳವಾಗಿದೆ. ಆದರೆ ಸ್ವಯಂ ಸಹಿ ಮಾಡಿದ ಪ್ರಮಾಣಪತ್ರಗಳಿಲ್ಲದೆ ಇನ್ನೂ ಬಿಡಲು ಸಾಧ್ಯವಾಗಲಿಲ್ಲ. Samsung ಸಾಧನಗಳು ಮತ್ತು Android =< 6 ಆವೃತ್ತಿಗಳು ಸಿಸ್ಟಮ್ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಹೇಗೆ ಬಳಸಬೇಕೆಂದು ತಿಳಿದಿಲ್ಲ. ಆದ್ದರಿಂದ, ನಾವು ಅವರಿಗೆ ಸ್ವಯಂ-ಸಹಿ ಪ್ರಮಾಣಪತ್ರಗಳೊಂದಿಗೆ ಈಪ್-ಅತಿಥಿಯ ಪ್ರತ್ಯೇಕ ನಿದರ್ಶನವನ್ನು ರಚಿಸುತ್ತೇವೆ. ಎಲ್ಲಾ ಇತರ ಸಾಧನಗಳಿಗೆ ನಾವು ವಿಶ್ವಾಸಾರ್ಹ ಪ್ರಮಾಣಪತ್ರದೊಂದಿಗೆ eap-client ಅನ್ನು ಬಳಸುತ್ತೇವೆ. ಸಾಧನವನ್ನು ಸಂಪರ್ಕಿಸುವಾಗ ಬಳಕೆದಾರ-ಹೆಸರನ್ನು ಅನಾಮಧೇಯ ಕ್ಷೇತ್ರದಿಂದ ನಿರ್ಧರಿಸಲಾಗುತ್ತದೆ. ಕೇವಲ 3 ಮೌಲ್ಯಗಳನ್ನು ಅನುಮತಿಸಲಾಗಿದೆ: ಅತಿಥಿ, ಗ್ರಾಹಕ ಮತ್ತು ಖಾಲಿ ಕ್ಷೇತ್ರ. ಉಳಿದವುಗಳನ್ನು ತಿರಸ್ಕರಿಸಲಾಗಿದೆ. ಇದನ್ನು ನೀತಿಗಳಲ್ಲಿ ಕಾನ್ಫಿಗರ್ ಮಾಡಬಹುದು. ನಾನು ಸ್ವಲ್ಪ ಸಮಯದ ನಂತರ ಉದಾಹರಣೆ ನೀಡುತ್ತೇನೆ.
ನಲ್ಲಿ ವಿಭಾಗಗಳನ್ನು ದೃಢೀಕರಿಸಿ ಮತ್ತು ದೃಢೀಕರಿಸಿ ಸಂಪಾದಿಸೋಣ ಸೈಟ್-ಸಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ/ಒಳಗಿನ ಸುರಂಗ
ಸೈಟ್-ಸಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ/ಒಳಗಿನ ಸುರಂಗ
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}ಮುಂದೆ, ಅನಾಮಧೇಯ ಲಾಗಿನ್ಗಾಗಿ ಯಾವ ಹೆಸರುಗಳನ್ನು ಬಳಸಬಹುದು ಎಂಬುದನ್ನು ನೀತಿಗಳಲ್ಲಿ ನೀವು ನಿರ್ದಿಷ್ಟಪಡಿಸಬೇಕು. ಸಂಪಾದನೆ ನೀತಿ.d/filter.
ನೀವು ಇದೇ ರೀತಿಯ ಸಾಲುಗಳನ್ನು ಕಂಡುಹಿಡಿಯಬೇಕು:
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}ಮತ್ತು ಕೆಳಗೆ elsif ನಲ್ಲಿ ಅಗತ್ಯ ಮೌಲ್ಯಗಳನ್ನು ಸೇರಿಸಿ:
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}ಈಗ ನಾವು ಡೈರೆಕ್ಟರಿಗೆ ಹೋಗಬೇಕಾಗಿದೆ ಪ್ರಮಾಣಪತ್ರಗಳು. ಇಲ್ಲಿ ನಾವು ಈಗಾಗಲೇ ಹೊಂದಿರುವ ವಿಶ್ವಾಸಾರ್ಹ ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರದಿಂದ ಕೀ ಮತ್ತು ಪ್ರಮಾಣಪತ್ರವನ್ನು ಇರಿಸಬೇಕಾಗುತ್ತದೆ ಮತ್ತು ನಾವು eap-ಗೆಸ್ಟ್ಗಾಗಿ ಸ್ವಯಂ-ಸಹಿ ಮಾಡಿದ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ರಚಿಸಬೇಕಾಗಿದೆ.
ಫೈಲ್ನಲ್ಲಿ ನಿಯತಾಂಕಗಳನ್ನು ಬದಲಾಯಿಸುವುದು ca.cnf.
ca.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"ನಾವು ಫೈಲ್ನಲ್ಲಿ ಅದೇ ಮೌಲ್ಯಗಳನ್ನು ಬರೆಯುತ್ತೇವೆ server.cnf. ನಾವು ಮಾತ್ರ ಬದಲಾಗುತ್ತೇವೆ
ಸಾಮಾನ್ಯ ಹೆಸರು:
server.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"ನಾವು ರಚಿಸುತ್ತೇವೆ:
makeಸಿದ್ಧವಾಗಿದೆ. ಸ್ವೀಕರಿಸಲಾಗಿದೆ server.crt и ಸರ್ವರ್.ಕೀ ನಾವು ಈಗಾಗಲೇ ಈಪ್-ಅತಿಥಿಯಲ್ಲಿ ನೋಂದಾಯಿಸಿದ್ದೇವೆ.
ಮತ್ತು ಕೊನೆಯದಾಗಿ, ಫೈಲ್ಗೆ ನಮ್ಮ ಪ್ರವೇಶ ಬಿಂದುಗಳನ್ನು ಸೇರಿಸೋಣ client.conf. ನಾನು ಅವುಗಳಲ್ಲಿ 7 ಅನ್ನು ಹೊಂದಿದ್ದೇನೆ. ಪ್ರತಿ ಪಾಯಿಂಟ್ ಅನ್ನು ಪ್ರತ್ಯೇಕವಾಗಿ ಸೇರಿಸದಿರಲು, ಅವುಗಳು ಇರುವ ನೆಟ್ವರ್ಕ್ ಅನ್ನು ಮಾತ್ರ ನಾವು ನೋಂದಾಯಿಸುತ್ತೇವೆ (ನನ್ನ ಪ್ರವೇಶ ಬಿಂದುಗಳು ಪ್ರತ್ಯೇಕ VLAN ನಲ್ಲಿವೆ).
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}ಯುಬಿಕ್ವಿಟಿ ನಿಯಂತ್ರಕ
ನಾವು ನಿಯಂತ್ರಕದಲ್ಲಿ ಪ್ರತ್ಯೇಕ ನೆಟ್ವರ್ಕ್ ಅನ್ನು ಹೆಚ್ಚಿಸುತ್ತೇವೆ. ಅದು 192.168.2.0/24 ಆಗಿರಲಿ
ಸೆಟ್ಟಿಂಗ್ಗಳು -> ಪ್ರೊಫೈಲ್ಗೆ ಹೋಗಿ. ಹೊಸದನ್ನು ರಚಿಸೋಣ:
ನಾವು ತ್ರಿಜ್ಯದ ಸರ್ವರ್ನ ವಿಳಾಸ ಮತ್ತು ಪೋರ್ಟ್ ಮತ್ತು ಫೈಲ್ನಲ್ಲಿ ಬರೆಯಲಾದ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಬರೆಯುತ್ತೇವೆ clients.conf:
ಹೊಸ ವೈರ್ಲೆಸ್ ನೆಟ್ವರ್ಕ್ ಹೆಸರನ್ನು ರಚಿಸಿ. WPA-EAP (ಎಂಟರ್ಪ್ರೈಸ್) ಅನ್ನು ದೃಢೀಕರಣ ವಿಧಾನವಾಗಿ ಆಯ್ಕೆಮಾಡಿ ಮತ್ತು ರಚಿಸಿದ ತ್ರಿಜ್ಯದ ಪ್ರೊಫೈಲ್ ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಿ:
ನಾವು ಎಲ್ಲವನ್ನೂ ಉಳಿಸುತ್ತೇವೆ, ಅದನ್ನು ಅನ್ವಯಿಸುತ್ತೇವೆ ಮತ್ತು ಮುಂದುವರಿಯುತ್ತೇವೆ.
ಗ್ರಾಹಕರನ್ನು ಹೊಂದಿಸಲಾಗುತ್ತಿದೆ
ಕಠಿಣ ಭಾಗದಿಂದ ಪ್ರಾರಂಭಿಸೋಣ!
ವಿಂಡೋಸ್ 10
ಡೊಮೇನ್ನಲ್ಲಿ ಕಾರ್ಪೊರೇಟ್ ವೈಫೈಗೆ ಹೇಗೆ ಸಂಪರ್ಕಿಸಬೇಕು ಎಂದು ವಿಂಡೋಸ್ಗೆ ಇನ್ನೂ ತಿಳಿದಿಲ್ಲ ಎಂಬ ಅಂಶಕ್ಕೆ ತೊಂದರೆ ಬರುತ್ತದೆ. ಆದ್ದರಿಂದ, ನಾವು ನಮ್ಮ ಪ್ರಮಾಣಪತ್ರವನ್ನು ವಿಶ್ವಾಸಾರ್ಹ ಪ್ರಮಾಣಪತ್ರ ಅಂಗಡಿಗೆ ಹಸ್ತಚಾಲಿತವಾಗಿ ಅಪ್ಲೋಡ್ ಮಾಡಬೇಕು. ಇಲ್ಲಿ ನೀವು ಸ್ವಯಂ-ಸಹಿ ಮಾಡಿದ ಒಂದನ್ನು ಅಥವಾ ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರದಿಂದ ಒಂದನ್ನು ಬಳಸಬಹುದು. ನಾನು ಎರಡನೆಯದನ್ನು ಬಳಸುತ್ತೇನೆ.
ಮುಂದೆ ನೀವು ಹೊಸ ಸಂಪರ್ಕವನ್ನು ರಚಿಸಬೇಕಾಗಿದೆ. ಇದನ್ನು ಮಾಡಲು, ನೆಟ್ವರ್ಕ್ ಮತ್ತು ಇಂಟರ್ನೆಟ್ ಸೆಟ್ಟಿಂಗ್ಗಳಿಗೆ ಹೋಗಿ -> ನೆಟ್ವರ್ಕ್ ಮತ್ತು ಹಂಚಿಕೆ ಕೇಂದ್ರ -> ಹೊಸ ಸಂಪರ್ಕ ಅಥವಾ ನೆಟ್ವರ್ಕ್ ಅನ್ನು ರಚಿಸಿ ಮತ್ತು ಕಾನ್ಫಿಗರ್ ಮಾಡಿ:
ನಾವು ಹಸ್ತಚಾಲಿತವಾಗಿ ನೆಟ್ವರ್ಕ್ ಹೆಸರನ್ನು ನಮೂದಿಸಿ ಮತ್ತು ಭದ್ರತಾ ಪ್ರಕಾರವನ್ನು ಬದಲಾಯಿಸುತ್ತೇವೆ. ನಂತರ ಕ್ಲಿಕ್ ಮಾಡಿ ಸಂಪರ್ಕ ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಬದಲಾಯಿಸಿ ಮತ್ತು ಭದ್ರತಾ ಟ್ಯಾಬ್ನಲ್ಲಿ, ನೆಟ್ವರ್ಕ್ ದೃಢೀಕರಣವನ್ನು ಆಯ್ಕೆ ಮಾಡಿ - EAP-TTLS.
ಸೆಟ್ಟಿಂಗ್ಗಳಿಗೆ ಹೋಗಿ, ದೃಢೀಕರಣದ ಗೌಪ್ಯತೆಯನ್ನು ಹೊಂದಿಸಿ - ಕ್ಲೈಂಟ್. ವಿಶ್ವಾಸಾರ್ಹ ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರವಾಗಿ, ನಾವು ಸೇರಿಸಿದ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಆಯ್ಕೆಮಾಡಿ, "ಸರ್ವರ್ ಅನ್ನು ಅಧಿಕೃತಗೊಳಿಸಲು ಸಾಧ್ಯವಾಗದಿದ್ದರೆ ಬಳಕೆದಾರರಿಗೆ ಆಹ್ವಾನವನ್ನು ನೀಡಬೇಡಿ" ಬಾಕ್ಸ್ ಅನ್ನು ಪರಿಶೀಲಿಸಿ ಮತ್ತು ದೃಢೀಕರಣ ವಿಧಾನವನ್ನು ಆಯ್ಕೆಮಾಡಿ - ಸರಳ ಪಠ್ಯ ಪಾಸ್ವರ್ಡ್ (PAP).
ಮುಂದೆ, ಹೆಚ್ಚುವರಿ ನಿಯತಾಂಕಗಳಿಗೆ ಹೋಗಿ ಮತ್ತು "ದೃಢೀಕರಣ ಮೋಡ್ ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಿ" ಬಾಕ್ಸ್ ಅನ್ನು ಪರಿಶೀಲಿಸಿ. "ಬಳಕೆದಾರ ದೃಢೀಕರಣ" ಆಯ್ಕೆಮಾಡಿ ಮತ್ತು ಕ್ಲಿಕ್ ಮಾಡಿ ರುಜುವಾತುಗಳನ್ನು ಉಳಿಸಿ. ಇಲ್ಲಿ ನೀವು username_ldap ಮತ್ತು password_ldap ಅನ್ನು ನಮೂದಿಸಬೇಕಾಗುತ್ತದೆ
ನಾವು ಎಲ್ಲವನ್ನೂ ಉಳಿಸುತ್ತೇವೆ, ಅನ್ವಯಿಸುತ್ತೇವೆ, ಮುಚ್ಚುತ್ತೇವೆ. ನೀವು ಹೊಸ ನೆಟ್ವರ್ಕ್ಗೆ ಸಂಪರ್ಕಿಸಬಹುದು.
ಲಿನಕ್ಸ್
ನಾನು ಉಬುಂಟು 18.04, 18.10, ಫೆಡೋರಾ 29, 30 ನಲ್ಲಿ ಪರೀಕ್ಷಿಸಿದೆ.
ಮೊದಲು, ನಿಮಗಾಗಿ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಿ. ಸಿಸ್ಟಮ್ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಬಳಸಲು ಸಾಧ್ಯವೇ ಅಥವಾ ಅಂತಹ ಅಂಗಡಿ ಇದೆಯೇ ಎಂದು ನಾನು ಲಿನಕ್ಸ್ನಲ್ಲಿ ಕಂಡುಕೊಂಡಿಲ್ಲ.
ನಾವು ಡೊಮೇನ್ ಮೂಲಕ ಸಂಪರ್ಕಿಸುತ್ತೇವೆ. ಆದ್ದರಿಂದ, ನಮ್ಮ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಖರೀದಿಸಿದ ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರದಿಂದ ನಮಗೆ ಪ್ರಮಾಣಪತ್ರದ ಅಗತ್ಯವಿದೆ.
ಎಲ್ಲಾ ಸಂಪರ್ಕಗಳನ್ನು ಒಂದೇ ವಿಂಡೋದಲ್ಲಿ ಮಾಡಲಾಗುತ್ತದೆ. ನಮ್ಮ ನೆಟ್ವರ್ಕ್ ಆಯ್ಕೆಮಾಡಿ:
ಅನಾಮಧೇಯ - ಗ್ರಾಹಕ
ಡೊಮೇನ್ - ಪ್ರಮಾಣಪತ್ರವನ್ನು ನೀಡಿದ ಡೊಮೇನ್
ಆಂಡ್ರಾಯ್ಡ್
ಸ್ಯಾಮ್ಸಂಗ್ ಅಲ್ಲದ
ಆವೃತ್ತಿ 7 ರಿಂದ, ವೈಫೈ ಅನ್ನು ಸಂಪರ್ಕಿಸುವಾಗ, ಡೊಮೇನ್ ಅನ್ನು ಮಾತ್ರ ನಿರ್ದಿಷ್ಟಪಡಿಸುವ ಮೂಲಕ ನೀವು ಸಿಸ್ಟಮ್ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಬಳಸಬಹುದು:
ಡೊಮೇನ್ - ಪ್ರಮಾಣಪತ್ರವನ್ನು ನೀಡಿದ ಡೊಮೇನ್
ಅನಾಮಧೇಯ - ಗ್ರಾಹಕ
ಸ್ಯಾಮ್ಸಂಗ್
ನಾನು ಮೇಲೆ ಬರೆದಂತೆ, ವೈಫೈ ಅನ್ನು ಸಂಪರ್ಕಿಸುವಾಗ ಸ್ಯಾಮ್ಸಂಗ್ ಸಾಧನಗಳು ಸಿಸ್ಟಮ್ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಹೇಗೆ ಬಳಸಬೇಕೆಂದು ತಿಳಿದಿಲ್ಲ, ಮತ್ತು ಅವರು ಡೊಮೇನ್ ಮೂಲಕ ಸಂಪರ್ಕಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಹೊಂದಿಲ್ಲ. ಆದ್ದರಿಂದ, ನೀವು ಪ್ರಮಾಣೀಕರಣ ಪ್ರಾಧಿಕಾರದ ಮೂಲ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಹಸ್ತಚಾಲಿತವಾಗಿ ಸೇರಿಸಬೇಕಾಗಿದೆ (ca.pem, ಅದನ್ನು ತ್ರಿಜ್ಯದ ಸರ್ವರ್ನಿಂದ ತೆಗೆದುಕೊಳ್ಳಿ). ಇಲ್ಲಿ ಸ್ವಯಂ ಸಹಿ ಬಳಸಲಾಗುವುದು.
ನಿಮ್ಮ ಸಾಧನಕ್ಕೆ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಿ ಮತ್ತು ಅದನ್ನು ಸ್ಥಾಪಿಸಿ.
ಪ್ರಮಾಣಪತ್ರವನ್ನು ಸ್ಥಾಪಿಸುವುದು
ಈ ಸಂದರ್ಭದಲ್ಲಿ, ನೀವು ಸ್ಕ್ರೀನ್ ಅನ್ಲಾಕ್ ಪ್ಯಾಟರ್ನ್, ಪಿನ್ ಕೋಡ್ ಅಥವಾ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಈಗಾಗಲೇ ಹೊಂದಿಸದಿದ್ದರೆ ಅದನ್ನು ಹೊಂದಿಸಬೇಕಾಗುತ್ತದೆ:
ಪ್ರಮಾಣಪತ್ರವನ್ನು ಸ್ಥಾಪಿಸಲು ನಾನು ಸಂಕೀರ್ಣ ಆಯ್ಕೆಯನ್ನು ತೋರಿಸಿದೆ. ಹೆಚ್ಚಿನ ಸಾಧನಗಳಲ್ಲಿ, ಡೌನ್ಲೋಡ್ ಮಾಡಿದ ಪ್ರಮಾಣಪತ್ರದ ಮೇಲೆ ಕ್ಲಿಕ್ ಮಾಡಿ.
ಪ್ರಮಾಣಪತ್ರವನ್ನು ಸ್ಥಾಪಿಸಿದಾಗ, ನೀವು ಸಂಪರ್ಕಕ್ಕೆ ಮುಂದುವರಿಯಬಹುದು:
ಪ್ರಮಾಣಪತ್ರ - ನೀವು ಸ್ಥಾಪಿಸಿದ ಒಂದನ್ನು ಸೂಚಿಸಿ
ಅನಾಮಧೇಯ ಬಳಕೆದಾರ - ಅತಿಥಿ
MacOS
Apple ಸಾಧನಗಳು ಬಾಕ್ಸ್ನ ಹೊರಗೆ EAP-TLS ಗೆ ಮಾತ್ರ ಸಂಪರ್ಕಿಸಬಹುದು, ಆದರೆ ನೀವು ಇನ್ನೂ ಅವರಿಗೆ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಒದಗಿಸಬೇಕಾಗಿದೆ. ವಿಭಿನ್ನ ಸಂಪರ್ಕ ವಿಧಾನವನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಲು, ನೀವು ಆಪಲ್ ಕಾನ್ಫಿಗರರೇಟರ್ 2 ಅನ್ನು ಬಳಸಬೇಕಾಗುತ್ತದೆ. ಅದರ ಪ್ರಕಾರ, ನೀವು ಮೊದಲು ಅದನ್ನು ನಿಮ್ಮ ಮ್ಯಾಕ್ಗೆ ಡೌನ್ಲೋಡ್ ಮಾಡಬೇಕಾಗುತ್ತದೆ, ಹೊಸ ಪ್ರೊಫೈಲ್ ಅನ್ನು ರಚಿಸಿ ಮತ್ತು ಅಗತ್ಯವಿರುವ ಎಲ್ಲಾ ವೈಫೈ ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಸೇರಿಸಿ.
ಆಪಲ್ ಕಾನ್ಫಿಗರರೇಟರ್
ಇಲ್ಲಿ ನಾವು ನಮ್ಮ ನೆಟ್ವರ್ಕ್ನ ಹೆಸರನ್ನು ಸೂಚಿಸುತ್ತೇವೆ
ಭದ್ರತಾ ಪ್ರಕಾರ - WPA2 ಎಂಟರ್ಪ್ರೈಸ್
ಸ್ವೀಕರಿಸಿದ EAP ವಿಧಗಳು - TTLS
ಬಳಕೆದಾರ ಹೆಸರು ಮತ್ತು ಪಾಸ್ವರ್ಡ್ - ಖಾಲಿ ಬಿಡಿ
ಒಳ ದೃಢೀಕರಣ - PAP
ಬಾಹ್ಯ ಗುರುತು - ಕ್ಲೈಂಟ್
ಟ್ರಸ್ಟ್ ಟ್ಯಾಬ್. ಇಲ್ಲಿ ನಾವು ನಮ್ಮ ಡೊಮೇನ್ ಅನ್ನು ಸೂಚಿಸುತ್ತೇವೆ
ಎಲ್ಲಾ. ಪ್ರೊಫೈಲ್ ಅನ್ನು ಉಳಿಸಬಹುದು, ಸಹಿ ಮಾಡಬಹುದು ಮತ್ತು ಸಾಧನಗಳಿಗೆ ವಿತರಿಸಬಹುದು
ಪ್ರೊಫೈಲ್ ಸಿದ್ಧವಾದ ನಂತರ, ನೀವು ಅದನ್ನು ನಿಮ್ಮ ಮ್ಯಾಕ್ಗೆ ಡೌನ್ಲೋಡ್ ಮಾಡಬೇಕಾಗುತ್ತದೆ ಮತ್ತು ಅದನ್ನು ಸ್ಥಾಪಿಸಬೇಕು. ಅನುಸ್ಥಾಪನಾ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿ, ನೀವು ಬಳಕೆದಾರರ usernmae_ldap ಮತ್ತು password_ldap ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಬೇಕಾಗುತ್ತದೆ:
ಐಒಎಸ್
ಪ್ರಕ್ರಿಯೆಯು ಮ್ಯಾಕೋಸ್ ಅನ್ನು ಹೋಲುತ್ತದೆ. ನೀವು ಪ್ರೊಫೈಲ್ ಅನ್ನು ಬಳಸಬೇಕಾಗುತ್ತದೆ (ನೀವು MacOS ಗಾಗಿ ಅದೇ ರೀತಿಯದನ್ನು ಬಳಸಬಹುದು. Apple ಕಾನ್ಫಿಗರರೇಟರ್ನಲ್ಲಿ ಪ್ರೊಫೈಲ್ ಅನ್ನು ಹೇಗೆ ರಚಿಸುವುದು ಎಂಬುದನ್ನು ಮೇಲೆ ನೋಡಿ).
ಪ್ರೊಫೈಲ್ ಅನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಿ, ಸ್ಥಾಪಿಸಿ, ರುಜುವಾತುಗಳನ್ನು ನಮೂದಿಸಿ, ಸಂಪರ್ಕಿಸಿ:
ಅಷ್ಟೇ. ನಾವು ರೇಡಿಯಸ್ ಸರ್ವರ್ ಅನ್ನು ಹೊಂದಿಸಿದ್ದೇವೆ, ಅದನ್ನು FreeIPA ನೊಂದಿಗೆ ಸಿಂಕ್ ಮಾಡಿದ್ದೇವೆ ಮತ್ತು WPA2-EAP ಅನ್ನು ಬಳಸಲು Ubiquiti ಪ್ರವೇಶ ಬಿಂದುಗಳಿಗೆ ಹೇಳಿದೆವು.
ಸಂಭವನೀಯ ಪ್ರಶ್ನೆಗಳು
ಇನ್: ಉದ್ಯೋಗಿಗೆ ಪ್ರೊಫೈಲ್/ಪ್ರಮಾಣಪತ್ರವನ್ನು ವರ್ಗಾಯಿಸುವುದು ಹೇಗೆ?
ಕುರಿತು: ನಾನು ಎಲ್ಲಾ ಪ್ರಮಾಣಪತ್ರಗಳು/ಪ್ರೊಫೈಲ್ಗಳನ್ನು ವೆಬ್ ಮೂಲಕ ಪ್ರವೇಶದೊಂದಿಗೆ FTP ಯಲ್ಲಿ ಸಂಗ್ರಹಿಸುತ್ತೇನೆ. ನಾನು FTP ಹೊರತುಪಡಿಸಿ, ವೇಗದ ಮಿತಿ ಮತ್ತು ಇಂಟರ್ನೆಟ್ಗೆ ಮಾತ್ರ ಪ್ರವೇಶದೊಂದಿಗೆ ಅತಿಥಿ ನೆಟ್ವರ್ಕ್ ಅನ್ನು ಹೊಂದಿಸಿದ್ದೇನೆ.
ದೃಢೀಕರಣವು 2 ದಿನಗಳವರೆಗೆ ಇರುತ್ತದೆ, ನಂತರ ಅದನ್ನು ಮರುಹೊಂದಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಕ್ಲೈಂಟ್ ಇಂಟರ್ನೆಟ್ ಇಲ್ಲದೆ ಬಿಡಲಾಗುತ್ತದೆ. ಅದು. ಉದ್ಯೋಗಿ ವೈಫೈಗೆ ಸಂಪರ್ಕಿಸಲು ಬಯಸಿದಾಗ, ಅವನು ಮೊದಲು ಅತಿಥಿ ನೆಟ್ವರ್ಕ್ಗೆ ಸಂಪರ್ಕಿಸುತ್ತಾನೆ, ಎಫ್ಟಿಪಿಗೆ ಲಾಗ್ ಇನ್ ಮಾಡಿ, ಅವನಿಗೆ ಅಗತ್ಯವಿರುವ ಪ್ರಮಾಣಪತ್ರ ಅಥವಾ ಪ್ರೊಫೈಲ್ ಅನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಿ, ಅವುಗಳನ್ನು ಸ್ಥಾಪಿಸಿ ಮತ್ತು ನಂತರ ಕಾರ್ಪೊರೇಟ್ ನೆಟ್ವರ್ಕ್ಗೆ ಸಂಪರ್ಕಿಸಬಹುದು.
ಇನ್: MSCHAPv2 ಜೊತೆಗೆ ಸ್ಕೀಮ್ ಅನ್ನು ಏಕೆ ಬಳಸಬಾರದು? ಇದು ಸುರಕ್ಷಿತವಾಗಿದೆ!
ಕುರಿತು: ಮೊದಲನೆಯದಾಗಿ, ಈ ಯೋಜನೆಯು NPS (ವಿಂಡೋಸ್ ನೆಟ್ವರ್ಕ್ ಪಾಲಿಸಿ ಸಿಸ್ಟಮ್) ನಲ್ಲಿ ಉತ್ತಮವಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ, ನಮ್ಮ ಅನುಷ್ಠಾನದಲ್ಲಿ ಹೆಚ್ಚುವರಿಯಾಗಿ LDAP (FreeIpa) ಅನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡುವುದು ಮತ್ತು ಪಾಸ್ವರ್ಡ್ ಹ್ಯಾಶ್ಗಳನ್ನು ಸರ್ವರ್ನಲ್ಲಿ ಸಂಗ್ರಹಿಸುವುದು ಅವಶ್ಯಕ. ಸೇರಿಸಿ. ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಮಾಡಲು ಇದು ಸೂಕ್ತವಲ್ಲ, ಏಕೆಂದರೆ ಇದು ಅಲ್ಟ್ರಾಸೌಂಡ್ ಸಿಸ್ಟಮ್ನ ಸಿಂಕ್ರೊನೈಸೇಶನ್ನೊಂದಿಗೆ ವಿವಿಧ ಸಮಸ್ಯೆಗಳಿಗೆ ಕಾರಣವಾಗಬಹುದು. ಎರಡನೆಯದಾಗಿ, ಹ್ಯಾಶ್ MD4 ಆಗಿದೆ, ಆದ್ದರಿಂದ ಇದು ಹೆಚ್ಚಿನ ಭದ್ರತೆಯನ್ನು ಸೇರಿಸುವುದಿಲ್ಲ
ಇನ್: ಮ್ಯಾಕ್ ವಿಳಾಸಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಸಾಧನಗಳನ್ನು ದೃಢೀಕರಿಸಲು ಸಾಧ್ಯವೇ?
ಕುರಿತು: ಇಲ್ಲ, ಇದು ಸುರಕ್ಷಿತವಲ್ಲ, ಆಕ್ರಮಣಕಾರರು MAC ವಿಳಾಸಗಳನ್ನು ವಂಚಿಸಬಹುದು, ಮತ್ತು ಇನ್ನೂ ಹೆಚ್ಚಾಗಿ, MAC ವಿಳಾಸಗಳಿಂದ ದೃಢೀಕರಣವು ಅನೇಕ ಸಾಧನಗಳಲ್ಲಿ ಬೆಂಬಲಿತವಾಗಿಲ್ಲ
ಇನ್: ಈ ಎಲ್ಲಾ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಏಕೆ ಬಳಸಬೇಕು? ನೀವು ಅವರಿಲ್ಲದೆ ಸಂಪರ್ಕಿಸಬಹುದು
ಕುರಿತು: ಸರ್ವರ್ ಅನ್ನು ಅಧಿಕೃತಗೊಳಿಸಲು ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಬಳಸಲಾಗುತ್ತದೆ. ಆ. ಸಂಪರ್ಕಿಸುವಾಗ, ಸಾಧನವು ನಂಬಬಹುದಾದ ಸರ್ವರ್ ಆಗಿದೆಯೇ ಅಥವಾ ಇಲ್ಲವೇ ಎಂಬುದನ್ನು ಪರಿಶೀಲಿಸುತ್ತದೆ. ಹಾಗಿದ್ದಲ್ಲಿ, ನಂತರ ದೃಢೀಕರಣವು ಮುಂದುವರಿಯುತ್ತದೆ; ಇಲ್ಲದಿದ್ದರೆ, ಸಂಪರ್ಕವನ್ನು ಮುಚ್ಚಲಾಗುತ್ತದೆ. ನೀವು ಪ್ರಮಾಣಪತ್ರಗಳಿಲ್ಲದೆ ಸಂಪರ್ಕಿಸಬಹುದು, ಆದರೆ ಆಕ್ರಮಣಕಾರರು ಅಥವಾ ನೆರೆಹೊರೆಯವರು ತ್ರಿಜ್ಯದ ಸರ್ವರ್ ಮತ್ತು ನಮ್ಮದೇ ಹೆಸರಿನ ಪ್ರವೇಶ ಬಿಂದುವನ್ನು ಮನೆಯಲ್ಲಿ ಹೊಂದಿಸಿದರೆ, ಅವರು ಬಳಕೆದಾರರ ರುಜುವಾತುಗಳನ್ನು ಸುಲಭವಾಗಿ ಪ್ರತಿಬಂಧಿಸಬಹುದು (ಅವು ಸ್ಪಷ್ಟ ಪಠ್ಯದಲ್ಲಿ ರವಾನೆಯಾಗುತ್ತವೆ ಎಂಬುದನ್ನು ಮರೆಯಬೇಡಿ) . ಮತ್ತು ಪ್ರಮಾಣಪತ್ರವನ್ನು ಬಳಸಿದಾಗ, ಶತ್ರು ತನ್ನ ಲಾಗ್ಗಳಲ್ಲಿ ನಮ್ಮ ಕಾಲ್ಪನಿಕ ಬಳಕೆದಾರ-ಹೆಸರನ್ನು ಮಾತ್ರ ನೋಡುತ್ತಾನೆ - ಅತಿಥಿ ಅಥವಾ ಕ್ಲೈಂಟ್ ಮತ್ತು ಟೈಪ್ ದೋಷ - ಅಜ್ಞಾತ CA ಪ್ರಮಾಣಪತ್ರ
MacOS ಬಗ್ಗೆ ಸ್ವಲ್ಪ ಹೆಚ್ಚುವಿಶಿಷ್ಟವಾಗಿ, MacOS ನಲ್ಲಿ, ಸಿಸ್ಟಮ್ ಅನ್ನು ಮರುಸ್ಥಾಪಿಸುವುದು ಇಂಟರ್ನೆಟ್ ಮೂಲಕ ಮಾಡಲಾಗುತ್ತದೆ. ಮರುಪ್ರಾಪ್ತಿ ಮೋಡ್ನಲ್ಲಿ, Mac ಅನ್ನು ವೈಫೈಗೆ ಸಂಪರ್ಕಿಸಬೇಕು ಮತ್ತು ನಮ್ಮ ಕಾರ್ಪೊರೇಟ್ ವೈಫೈ ಅಥವಾ ಅತಿಥಿ ನೆಟ್ವರ್ಕ್ ಇಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸುವುದಿಲ್ಲ. ವೈಯಕ್ತಿಕವಾಗಿ, ನಾನು ಮತ್ತೊಂದು ನೆಟ್ವರ್ಕ್ ಅನ್ನು ಸ್ಥಾಪಿಸಿದ್ದೇನೆ, ಸಾಮಾನ್ಯ WPA2-PSK, ಮರೆಮಾಡಲಾಗಿದೆ, ತಾಂತ್ರಿಕ ಕಾರ್ಯಾಚರಣೆಗಳಿಗೆ ಮಾತ್ರ. ಅಥವಾ ನೀವು ಮುಂಚಿತವಾಗಿ ಸಿಸ್ಟಮ್ನೊಂದಿಗೆ ಬೂಟ್ ಮಾಡಬಹುದಾದ USB ಫ್ಲಾಶ್ ಡ್ರೈವ್ ಅನ್ನು ಸಹ ಮಾಡಬಹುದು. ಆದರೆ ನಿಮ್ಮ ಮ್ಯಾಕ್ 2015 ರ ನಂತರ ಇದ್ದರೆ, ಈ ಫ್ಲ್ಯಾಷ್ ಡ್ರೈವ್ಗಾಗಿ ನೀವು ಅಡಾಪ್ಟರ್ ಅನ್ನು ಸಹ ಕಂಡುಹಿಡಿಯಬೇಕು)
ಮೂಲ: www.habr.com