Exempla quaedam corporatum WiFi ordinandi iam descripta sunt. Hic describam quomodo similem solutionem adduximus et problemata, quae in variis machinis connectere debebam, occurrere. Utemur LDAP existentes cum usoribus descriptis, FreeRadius suscitabimus et WPA2-Inceptum in Ubnt moderatoris configuramus. Omnia simplicia esse videntur. Videamus…
Paulo de EAP modi
Priusquam ad negotium pergamus, diiudicare debemus utra methodus authenticas in solutione nostra utamur.
Ab Vicipaedia:
EAP authenticas compages est quae saepe in retiaculis wireless et in punctum iunctio adhibenda est. Forma in RFC 3748 primum descripta et in RFC 5247 renovata est.
EAP methodum authenticas eligere adhibetur, claves passuras et claves illas cum obturaculis quae EAP modos vocant. EAP modi multi sunt, et ipso EAP definiti et a singulis venditoribus absoluti. EAP nexum tabulatum non definit, solum nuntium format. Quisque protocollum usus EAP habet suum EAP nuntium encapsulation protocollum.
Modi ipsi;
- EXILIO est protocollum proprietatis a CISCO elaboratum. Vulnerabilitates invenerunt. Is est currently uti non commendatae sunt
- EAP-TLS inter venditores wireless bene sustentatur. Secura protocollo est quia successor SSL signa. Cliens constituens satis implicata est. Opus clientis certificatorium praeter tesseram est. Confirmata in multis systematibus
- EAP-TTLS - multis systematibus late fultus, bonam securitatem praebet utendo testimoniorum PKI tantum in servo authenticas.
- EAP-MD5 aliud signum est apertum. Minimum praebet securitatem. Vulnerabile, mutuam authenticationem et clavem generationis non adiuvat
- EAP-IKEv2 - ex interretiali Key Exchange Protocollum versionis 2. Providet mutuam authenticationem et sessionem clavem constitutionis inter clientem et ministrum.
- PEAP solutio iuncturae est CISCO, Microsoft et RSA Securitatis ut vexillum apertum. Late in re producta, optimam securitatem praebet. Similia cum EAP-TTLS, libellum tantum requirens in servo lateris
- PEAPv0/EAP-MSCHAPv2 - post EAP-TLS, haec est secunda regula late in mundo usus. Adhibetur clientisservi relatio in Microsoft, Cisco, Apple, Linux
- PEAPv1/EAP-GTC - Creatum a Cisco ut jocus est PEAPv0/EAP-MSCHAPv2. Data ullo modo authenticas non protegit. Non valet in Fenestra OS
- EAP-FAST technica a Cisco evoluta est ut vitia saltu emendaret. Utitur Tutis Access Credential (PAC). Omnino imperf
Quorum omnium diversitas, electio adhuc non est magna. Modus authenticas requirebatur: securitas bona, firmamentum omnium machinarum (Fenestra 10, macOS, Linux, Android, iOS) et re vera simplicior melior. Incidit ergo electio in EAP-TTLS coniuncta cum protocollo PAP.
Quaeri potest - Why use PAP? quia Tesserae in clara transmittit?
Ita, ille correctus est. Communicatio inter FreeRadius et FreeIPA hoc modo fient. In modo debug, indagare potes quomodo username et tesserae missae sunt. Ita, et abeatis, modo ad FreeRadius servo accessum habes.
Plura legere potes de opere EAP-TTLS
FreeRADIUS
FreeRadius in CentOS 7.6 excitabitur. Nihil perplexum hic ponimus de more.
yum install freeradius freeradius-utils freeradius-ldap -y
Version 3.0.13 e fasciculis inauguratur. Hoc potest accipi
Deinde, FreeRadius iam laborat. Lineam inire potes in /etc/raddb/users
steve Cleartext-Password := "testing"
Mitte in calculonis servi in lusione
freeradius -X
Test et nexum ex localhost
radtest steve testing 127.0.0.1 1812 testing123
Possedi responsum Access-Accept Id 115 ab 127.0.0.1:1812 ad 127.0.0.1:56081 longitudo 20significat omnia OK. Perge.
Modulus iungo ldap.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap
Et nos statim mutabimus. FreeRadius nobis opus est ut FreeIPA accedere possit
mods-enabled / ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...
Sileo radii servo deprime et synchronisation de LDAP users:
radtest user_ldap password_ldap localhost 1812 testing123
Eap in mods-enabled / eap *
Duo hic adduntur exempla eap. Differunt tantum in libellis et clavibus. Infra dicam cur ita.
mods-enabled / eap *
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
Praeterea recensere site-enabled / default. Auctoritas et authenticas partes interest.
site-enabled / default
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}
In sectione auctoritato, omnes moduli quos non indigemus removemus. Solum ldap relinquimus. Addere clientis verificationem per cap. Hinc est quod duo exempla supra addidi.
Multi EAPIta est quod cum machinis quibusdam coniunguntur, systema testimonialibus utemur ac domain nominamus. Testimonium et clavem habemus ex auctoritate certificatoria credita. Personaliter, ut opinor, facilior est talis ratio connexionis quam in singulis artificiis libellum auto-signatum iacere. Sed etiam sine testimonio sui signati, adhuc non elaborare. Nokia machinas et Android =< 6 versiones non possunt systematis testimonialibus uti. Ideo singularem instantiam eiusdem hospitis pro eis facimus cum testimoniorum propriorum subscriptorum. Pro omnibus aliis machinis, eap-clientis fidenti libello utemur. Nomen usoris ab agro Anonymo constitutum est cum fabrica coniungitur. Tantum 3 valores permittuntur: Hospes, Client et ager inanis. Cetera omnia exuitur. Sed in lobortis felis. Exemplum paulo post dabo.
Sit scriptor sectiones in auctoritate et auctoritate recensere site-enabled/interiore cuniculum
site-enabled/interiore cuniculum
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}
Deinde, definire debes in rationibus quae nomina pro anonymo login adhiberi possunt. Emendo policy.d/filter.
Opus est huic similes lineas invenire:
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}
Et infra in elsif valores desideratos adde:
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}
Nunc opus est movere ad indicem Certs. Hic debes clavem et testimonium ponere ex auctoritate certificatoriae creditae, quam iam habemus et necesse habemus ut testimoniales sui signati pro capp-hospitalis generandi sint.
Mutare in tabella parametri ca.cnf.
ca.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"
Eadem bona in tabella scribimus server.cnf. Nos solum mutare
commune nomen:
server.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"
Creare:
make
Paratus. accepistis server.crt и server.key iam supra in hospitio cap.
Ac denique puncta tabellae accessum addamus client.conf. Ut singula puncta separatim non addam, retia tantum scribemus in qua sita sunt (punctorum accessus mei in VLAN separato sunt).
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}
Ubiquiti controller
Reticulum separatum in moderatorem excitamus. Sit 192.168.2.0/24
Vade ad occasus -> profile. Novum creamus unum:
Inscriptionem electronicam et portum radii servi et tesseram scribimus quae in tabella scripta est clients.conf:
Novam wireless network nomine. Lego WPA-EAP (Inceptum) ut authenticas methodum ac radiophonicum creatum denota:
Omnia servamus, applicant et cedunt.
Profecta clients
Difficillimum est scriptor initium!
Fenestra 10
Difficultas in eo descendit quod Fenestra nondum scit coniungere ad corporatum WiFi via dominii. Ideo nos manually libellum nostrum ad libellum reponunt creditum. Hic uti potest tum auto-signato et ex certificatione auctoritatis. Alterum utar alterum.
Deinde novam connexionem creare debes. Ad hoc fac, vade ad retia et occasus Internet -> Network et Centrum Socius -> Novam connexionem seu reticulum crea et configurare:
Manually retis nomen intrant et securitatis rationem mutant. Post click mutationem nexum occasus et in tab Securitatis, selectae authenticas retis - EAP-TTLS.
In parametris ingredimur, secreto authenticas praescribe. huius. Ut auctoritati certificationis creditae, libellum quod addimus, deprime capsam "Noli ferat invitationem ad usorem si auctor ordinarius esse non potest" et eligere modum authenticas - tesseram unencrypted (PAP).
Deinde, vade ad occasus antecedens, ricinum in "Defice modum authenticas." Ad "User authenticas" and click on nisi documentorum. Hic necesse est intrare username_ldap et password_ldap
Servamus omnia, applicamus, claudimus. Ad network novam coniungere potes.
Linux
Probavi de Decuria 18.04, 18.10, Fedora 29, 30 .
Primum, libellum nostrum demus. In Linux non inveni utrum ratio libellorum uti possit et num talis copia omnino sit.
Ad domain coniungamus. Ideo necesse habemus libellum a certificatione auctoritatis, unde testimonium nostrum emptus est.
Omnes nexus in una fenestra fiunt. Discriptis nostris network:
anonymous-cliens
domain - dominium pro quo libellum editur
Android
non-Samsung
Ex versione 7, cum WiFi coniungens, systematis libellorum uti potes solum domain specificando:
domain - dominium pro quo libellum editur
anonymous-cliens
Samsung
Sicut supra scripsimus, Nokia machinas nesciunt uti systematis libellis cum WiFi connectens, nec facultatem per ditionem coniungendi habent. Ideo oportet manually radix libellum certificationis auctoritatis addere (ca.pem, quod sumimus in servo Radii). Hic est ubi se signatum adhibebitur.
Download libellum tuum machinam ac institue.
Installation certificatorium
Eodem tempore, exemplar velum reseras, paxillus vel tessera, si iam non est, pones;
Ostendam vario versionem institutionis libellum. De plerisque machinis, simpliciter deprime per libellum receptae.
Cum libellum installatur, ad nexum procedere potes:
libellum - indicant unum quod erat installed
anonymous user - guest
macos
Apples machinas ex archa solum coniungere cum EAP-TLS possunt, sed adhuc libellum in illis mittere debes. Ad aliam connexionis methodum specificare, Apple Configurator utere debes 2. Proinde debes primum illud ad Mac- prehendere, novum profile crea et omnia necessaria WiFi occasus addere.
Lacus Configurator
Intra network nomen tuum hic
Securitatis Type - WPA2 Enterprise
EAP Types accepit - TTLS
Nomen User et Password - vacua relinquere
Interiorem authenticitate - PAP
Exterior Identity-clientis
Spera tab. Hic designamus dominium nostrum
Omnis. Profile potest salvari, signati et distribui ad machinas
Postquam figura parata est, necesse est eam ad papaver deponere et eam instituere. Per processum institutionem, usornmae_ldap et password_ldap utentis denotare debes:
iOS
Processus similis macOS. Vos uti profile (potestis eodem uti ac macOS. Quomodo profile in Apple Configuratoris creare, vide supra).
Profile, inaugurare, documentorum inire, coniungere:
Id omne. Radius servientem constituimus, cum FreeIPA illud consensit et indicavit Ubiquiti APs uti WPA2-EAP.
Quaestiones fieri
IN: quomodo profile / testimonium ad operarium transferre?
ABOUT: Omnia testimoniales/profiles in ftp per interretialem accessum recondo. Hospitium retiaculum excitavit cum limite et accessu ad solum interreti, excepto ftp.
Authenticatio per 2 dies durat, post quam reset et client sine interrete relinquitur. Quod. cum operarius WiFi coniungere vult, primum retis hospitis coniungit, accessiones FTP, libellum seu profile downloads indiget, eam instituit, et tunc ad network corporatum coniungere potest.
IN: cur schema non utimur cum MSCHAPv2? Tutius est!
ABOUT: Uno modo, talis ratio bene operatur in NPS (Fenestra Systema Network Policy), in nostra exsecutione necessarium est ut LDAP (FreeIpa) et tesserae hashes in calculonis configurentur. Adde. quoniam occasus facere non expedit. hoc ducere potest varias difficultates ultrasonesum synchronum. Secundo, Nullam est MD4, ideo non addit multam securitatem.
IN: potestne permittere machinas per mac-inscriptiones?
ABOUT: NO, hoc tutum non est, oppugnator inscriptiones MAC mutare potest, ac magis etiam auctoritas per inscriptiones MAC multis machinis non sustinetur.
IN: quid pro hisce fere libellis utar? potesne sine illis iungere?
ABOUT: testimoniales auctores sunt servo auctori. Illae. cum connexione machinam coercet, utrum is servo suo credi possit necne. Si est, sequitur authenticas, sin minus, nexus clausus est. Coniungere sine libellis potes, sed oppugnator vel vicinus si radium server et accessum punctim eodem nomine quo domi apud nos erigit, documentorum usoris facile intercipere potest (noli oblitus es eos in textu perspicuo traductos esse). Et cum testimonium adhibitum est, inimicus in suis lignis tantum videbit ficticium User-Name-hospitem vel clientem et errorem typus - Ignotum CA certificatorium.
paulo plus de macOSPlerumque in macOS, restituo systema per Interreti factum. In modo recuperandi, Mac cum WiFi coniungi debet, nec nostrum corpus WiFi nec retis hospites hic laborabit. Personaliter reticulum aliud sustuli, solitum WPA2-PSK absconditum, solum ad operationes technicas. Vel etiam facere potes cum USB bootable coegi ratio in antecessum mico. Sed si papaver post MMXV est, adhuc necesse erit invenire adaptorem huic mico coegi)
Source: www.habr.com