ວິ​ສາ​ຫະ​ກິດ WiFi​. FreeRadius + FreeIPA + Ubiquiti

ບາງຕົວຢ່າງຂອງການຈັດລະບຽບ WiFi ຂອງບໍລິສັດໄດ້ຖືກອະທິບາຍແລ້ວ. ໃນທີ່ນີ້ຂ້ອຍຈະອະທິບາຍວິທີທີ່ຂ້ອຍປະຕິບັດການແກ້ໄຂທີ່ຄ້າຍຄືກັນແລະບັນຫາທີ່ຂ້ອຍຕ້ອງປະເຊີນໃນເວລາທີ່ເຊື່ອມຕໍ່ໃນອຸປະກອນຕ່າງໆ. ພວກເຮົາຈະໃຊ້ LDAP ທີ່ມີຢູ່ແລ້ວກັບຜູ້ໃຊ້ທີ່ລົງທະບຽນ, ຍົກ FreeRadius ແລະຕັ້ງຄ່າ WPA2-Enterprise ໃນຕົວຄວບຄຸມ Ubnt. ທຸກສິ່ງທຸກຢ່າງເບິ່ງຄືວ່າງ່າຍດາຍ. ມາເບິ່ງ…

ເລັກນ້ອຍກ່ຽວກັບວິທີການ EAP

ກ່ອນທີ່ຈະດໍາເນີນວຽກງານ, ພວກເຮົາຈໍາເປັນຕ້ອງໄດ້ຕັດສິນໃຈວ່າພວກເຮົາຈະໃຊ້ວິທີການກວດສອບຄວາມຖືກຕ້ອງໃນການແກ້ໄຂຂອງພວກເຮົາ.

ຈາກ Wikipedia:

EAP ເປັນກອບການພິສູດຢືນຢັນທີ່ມັກໃຊ້ໃນເຄືອຂ່າຍໄຮ້ສາຍ ແລະການເຊື່ອມຕໍ່ຈຸດຫາຈຸດ. ຮູບແບບດັ່ງກ່າວໄດ້ຖືກອະທິບາຍຄັ້ງທໍາອິດໃນ RFC 3748 ແລະປັບປຸງໃນ RFC 5247.
EAP ຖືກນໍາໃຊ້ເພື່ອເລືອກວິທີການກວດສອບ, ລະຫັດຜ່ານ, ແລະປະມວນຜົນລະຫັດເຫຼົ່ານັ້ນດ້ວຍ plug-ins ເອີ້ນວ່າວິທີການ EAP. ມີຫຼາຍວິທີການ EAP, ທັງສອງກໍານົດດ້ວຍ EAP ຕົວຂອງມັນເອງແລະປ່ອຍອອກມາໂດຍຜູ້ຂາຍສ່ວນບຸກຄົນ. EAP ບໍ່ໄດ້ກໍານົດຊັ້ນເຊື່ອມຕໍ່, ມັນພຽງແຕ່ກໍານົດຮູບແບບຂໍ້ຄວາມເທົ່ານັ້ນ. ແຕ່ລະໂປຣໂຕຄໍທີ່ໃຊ້ EAP ມີໂປຣໂຕຄໍການຫຸ້ມຫໍ່ຂໍ້ຄວາມ EAP ຂອງຕົນເອງ.

ວິ​ທີ​ການ​ດ້ວຍ​ຕົນ​ເອງ​:

• LEAP ແມ່ນອະນຸສັນຍາທີ່ເປັນເຈົ້າຂອງທີ່ພັດທະນາໂດຍ CISCO. ພົບຊ່ອງໂຫວ່. ໃນປັດຈຸບັນມັນບໍ່ໄດ້ຖືກແນະນໍາໃຫ້ໃຊ້
• EAP-TLS ໄດ້ຮັບການສະຫນັບສະຫນູນທີ່ດີໃນບັນດາຜູ້ຂາຍໄຮ້ສາຍ. ມັນເປັນໂປໂຕຄອນທີ່ປອດໄພເພາະວ່າມັນເປັນຜູ້ສືບທອດມາດຕະຖານ SSL. ການຕັ້ງຄ່າລູກຄ້າແມ່ນຂ້ອນຂ້າງສັບສົນ. ທ່ານຕ້ອງການໃບຢັ້ງຢືນລູກຄ້ານອກເຫນືອຈາກລະຫັດຜ່ານ. ສະ​ຫນັບ​ສະ​ຫນູນ​ໃນ​ຫຼາຍ​ລະ​ບົບ​
• EAP-TTLS - ສະ​ຫນັບ​ສະ​ຫນູນ​ຢ່າງ​ກວ້າງ​ຂວາງ​ໃນ​ຫຼາຍ​ລະ​ບົບ​, ສະ​ຫນອງ​ຄວາມ​ປອດ​ໄພ​ທີ່​ດີ​ໂດຍ​ການ​ນໍາ​ໃຊ້​ໃບ​ຢັ້ງ​ຢືນ PKI ພຽງ​ແຕ່​ຢູ່​ໃນ​ເຄື່ອງ​ແມ່​ຂ່າຍ​ຂອງ​ການ​ກວດ​ສອບ​ໄດ້​.
• EAP-MD5 ແມ່ນມາດຕະຖານເປີດອີກອັນຫນຶ່ງ. ສະຫນອງຄວາມປອດໄພຫນ້ອຍທີ່ສຸດ. ມີຄວາມສ່ຽງ, ບໍ່ສະຫນັບສະຫນູນການກວດສອບເຊິ່ງກັນແລະກັນແລະການຜະລິດກະແຈ
• EAP-IKEv2 - ອີງໃສ່ Internet Key Exchange Protocol ເວີຊັ່ນ 2. ສະໜອງການພິສູດຢືນຢັນເຊິ່ງກັນແລະກັນ ແລະການສ້າງກະແຈເຊດຊັນລະຫວ່າງລູກຄ້າ ແລະເຊີບເວີ.
• PEAP ເປັນການແກ້ໄຂຮ່ວມກັນລະຫວ່າງ CISCO, Microsoft ແລະ RSA Security ເປັນມາດຕະຖານເປີດ. ມີຢູ່ໃນຜະລິດຕະພັນຢ່າງກວ້າງຂວາງ, ສະຫນອງຄວາມປອດໄພທີ່ດີຫຼາຍ. ຄ້າຍຄືກັນກັບ EAP-TTLS, ຕ້ອງການພຽງແຕ່ໃບຢັ້ງຢືນຂ້າງເຊີບເວີ
• PEAPv0/EAP-MSCHAPv2 - ຫຼັງຈາກ EAP-TLS, ນີ້ແມ່ນມາດຕະຖານທີ່ສອງທີ່ໃຊ້ກັນຢ່າງກວ້າງຂວາງໃນໂລກ. ໃຊ້ຄວາມສຳພັນກັບເຊີບເວີໃນ Microsoft, Cisco, Apple, Linux
• PEAPv1/EAP-GTC - ສ້າງໂດຍ Cisco ເປັນທາງເລືອກໃຫ້ກັບ PEAPv0/EAP-MSCHAPv2. ບໍ່ໄດ້ປົກປ້ອງຂໍ້ມູນການພິສູດຢືນຢັນໃນທາງໃດກໍ່ຕາມ. ບໍ່ຮອງຮັບໃນ Windows OS
• EAP-FAST ແມ່ນເຕັກນິກທີ່ພັດທະນາໂດຍ Cisco ເພື່ອແກ້ໄຂຂໍ້ບົກຜ່ອງຂອງ LEAP. ໃຊ້ Protected Access Credential (PAC). ຍັງບໍ່ທັນສໍາເລັດ

ຂອງຄວາມຫຼາກຫຼາຍທັງຫມົດນີ້, ທາງເລືອກແມ່ນຍັງບໍ່ດີ. ວິທີການກວດສອບແມ່ນຕ້ອງການ: ຄວາມປອດໄພທີ່ດີ, ສະຫນັບສະຫນູນໃນອຸປະກອນທັງຫມົດ (Windows 10, macOS, Linux, Android, iOS) ແລະ, ໃນຄວາມເປັນຈິງ, ງ່າຍດາຍທີ່ດີກວ່າ. ດັ່ງນັ້ນ, ທາງເລືອກຫຼຸດລົງໃນ EAP-TTLS ໂດຍສົມທົບກັບໂປໂຕຄອນ PAP.
ຄໍາຖາມອາດຈະເກີດຂື້ນ - ເປັນຫຍັງຕ້ອງໃຊ້ PAP? ຍ້ອນວ່າລາວສົ່ງລະຫັດຜ່ານໃນທີ່ຈະແຈ້ງ?

ແມ່ນ​ຖືກ​ຕ້ອງ. ການສື່ສານລະຫວ່າງ FreeRadius ແລະ FreeIPA ຈະເກີດຂຶ້ນໃນລັກສະນະນີ້. ໃນໂຫມດດີບັກ, ທ່ານສາມາດຕິດຕາມວິທີການສົ່ງຊື່ຜູ້ໃຊ້ແລະລະຫັດຜ່ານ. ແມ່ນແລ້ວ, ແລະປ່ອຍໃຫ້ພວກເຂົາໄປ, ພຽງແຕ່ທ່ານເຂົ້າເຖິງເຄື່ອງແມ່ຂ່າຍ FreeRadius.

ທ່ານສາມາດອ່ານເພີ່ມເຕີມກ່ຽວກັບວຽກງານຂອງ EAP-TTLS ທີ່ນີ້

FreeRADIUS

FreeRadius ຈະຖືກຍົກຂຶ້ນມາໃນ CentOS 7.6. ບໍ່ມີຫຍັງສັບສົນຢູ່ທີ່ນີ້, ພວກເຮົາຕັ້ງມັນຕາມປົກກະຕິ.

yum install freeradius freeradius-utils freeradius-ldap -y

ເວີຊັ່ນ 3.0.13 ຖືກຕິດຕັ້ງຈາກແພັກເກັດຕ່າງໆ. ສຸດທ້າຍສາມາດປະຕິບັດໄດ້ https://freeradius.org/

ຫຼັງຈາກນັ້ນ, FreeRadius ແມ່ນເຮັດວຽກແລ້ວ. ທ່ານສາມາດ uncomment ເສັ້ນໃນ /etc/raddb/users

steve   Cleartext-Password := "testing"

ເປີດຕົວເຂົ້າໄປໃນເຄື່ອງແມ່ຂ່າຍໃນໂຫມດດີບັກ

freeradius -X

ແລະເຮັດການເຊື່ອມຕໍ່ການທົດສອບຈາກ localhost

radtest steve testing 127.0.0.1 1812 testing123

ໄດ້ຄຳຕອບ ໄດ້ຮັບ Access-Accept Id 115 ຈາກ 127.0.0.1:1812 ຫາ 127.0.0.1:56081 ຄວາມຍາວ 20, ມັນຫມາຍຄວາມວ່າທຸກສິ່ງທຸກຢ່າງແມ່ນ OK. ສືບຕໍ່ເດີນຫນ້າ.

ພວກເຮົາເຊື່ອມຕໍ່ໂມດູນ ldap.

ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

ແລະພວກເຮົາຈະປ່ຽນມັນທັນທີ. ພວກເຮົາຕ້ອງການ FreeRadius ເພື່ອໃຫ້ສາມາດເຂົ້າເຖິງ FreeIPA

mods-enabled/ldap

ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...

ຣີສະຕາດເຊີບເວີ radius ແລະກວດສອບການຊິງໂຄຣໄນຂອງຜູ້ໃຊ້ LDAP:

radtest user_ldap password_ldap localhost 1812 testing123

ການແກ້ໄຂ eap in mods-enabled/eap
ໃນທີ່ນີ້ພວກເຮົາເພີ່ມສອງຕົວຢ່າງຂອງ eap. ພວກເຂົາເຈົ້າຈະແຕກຕ່າງກັນພຽງແຕ່ໃນໃບຢັ້ງຢືນແລະກະແຈ. ຂ້າງລຸ່ມນີ້ຂ້າພະເຈົ້າຈະອະທິບາຍວ່າເປັນຫຍັງອັນນີ້.

mods-enabled/eap

eap eap-client {                                                                                                                                                                                                                           default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_file = ${certdir}/fisrt.key
           certificate_file = ${certdir}/first.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}
eap eap-guest {
default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_passwotd=blablabla
           private_key_file = ${certdir}/server.key
           certificate_file = ${certdir}/server.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}

ການ​ແກ້​ໄຂ​ເພີ່ມ​ເຕີມ​ site-enabled/default. ພາກສ່ວນການອະນຸຍາດ ແລະການກວດສອບແມ່ນມີຄວາມສົນໃຈ.

site-enabled/default

authorize {
  filter_username
  preprocess
  if (&User-Name == "guest") {
   eap-guest {
       ok = return
   }
  }
  elsif (&User-Name == "client") {
    eap-client {
       ok = return 
    }
  }
  else {
    eap-guest {
       ok = return
    }
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  logintime
  pap
  }

authenticate {
  Auth-Type LDAP {
    ldap
  }
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  pap
}

ໃນພາກການອະນຸຍາດ, ພວກເຮົາເອົາໂມດູນທັງຫມົດທີ່ພວກເຮົາບໍ່ຕ້ອງການ. ພວກເຮົາອອກຈາກພຽງແຕ່ ldap. ເພີ່ມການຢັ້ງຢືນລູກຄ້າໂດຍຊື່ຜູ້ໃຊ້. ນີ້ແມ່ນເຫດຜົນທີ່ພວກເຮົາເພີ່ມສອງຕົວຢ່າງຂອງ eap ຂ້າງເທິງ.

ຫຼາຍ EAPຄວາມຈິງແມ່ນວ່າເມື່ອເຊື່ອມຕໍ່ບາງອຸປະກອນ, ພວກເຮົາຈະນໍາໃຊ້ໃບຢັ້ງຢືນລະບົບແລະລະບຸໂດເມນ. ພວກເຮົາມີໃບຮັບຮອງ ແລະກະແຈຈາກໜ່ວຍງານຢັ້ງຢືນທີ່ເຊື່ອຖືໄດ້. ສ່ວນບຸກຄົນ, ໃນຄວາມຄິດເຫັນຂອງຂ້າພະເຈົ້າ, ຂັ້ນຕອນການເຊື່ອມຕໍ່ດັ່ງກ່າວແມ່ນງ່າຍກວ່າການຖິ້ມໃບຢັ້ງຢືນການເຊັນດ້ວຍຕົນເອງໃນແຕ່ລະອຸປະກອນ. ແຕ່ເຖິງແມ່ນວ່າບໍ່ມີໃບຢັ້ງຢືນການລົງນາມດ້ວຍຕົນເອງ, ມັນຍັງບໍ່ໄດ້ຜົນ. ອຸປະກອນ Samsung ແລະ Android =< 6 ລຸ້ນບໍ່ສາມາດໃຊ້ໃບຢັ້ງຢືນລະບົບໄດ້. ດັ່ງນັ້ນ, ສໍາລັບພວກເຂົາພວກເຮົາສ້າງຕົວຢ່າງແຍກຕ່າງຫາກຂອງ eap-guest ທີ່ມີໃບຢັ້ງຢືນການເຊັນດ້ວຍຕົນເອງ. ສໍາລັບອຸປະກອນອື່ນໆທັງຫມົດ, ພວກເຮົາຈະໃຊ້ eap-client ທີ່ມີໃບຢັ້ງຢືນທີ່ເຊື່ອຖືໄດ້. ຊື່ຜູ້ໃຊ້ຖືກກໍານົດໂດຍຊ່ອງຂໍ້ມູນທີ່ບໍ່ເປີດເຜີຍຊື່ເມື່ອອຸປະກອນເຊື່ອມຕໍ່. ອະນຸຍາດໃຫ້ມີພຽງແຕ່ 3 ຄ່າ: ແຂກ, ລູກຄ້າແລະຊ່ອງຫວ່າງເປົ່າ. ທຸກຢ່າງຖືກຍົກເລີກ. ມັນຈະຖືກຕັ້ງຄ່າໃນນັກການເມືອງ. ຂ້ອຍຈະຍົກຕົວຢ່າງເລັກນ້ອຍຕໍ່ມາ.

ມາແກ້ໄຂພາກສ່ວນທີ່ອະນຸຍາດ ແລະພິສູດຢືນຢັນໃນ site-enabled/inner-tunnel

site-enabled/inner-tunnel

authorize {
  filter_username
  filter_inner_identity
  update control {
   &Proxy-To-Realm := LOCAL
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  digest
  logintime
  pap
  }

authenticate {
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  Auth-Type PAP {
    pap
  }
  ldap
}

ຕໍ່ໄປ, ທ່ານຈໍາເປັນຕ້ອງລະບຸໃນນະໂຍບາຍທີ່ຊື່ສາມາດຖືກນໍາໃຊ້ສໍາລັບການເຂົ້າສູ່ລະບົບທີ່ບໍ່ເປີດເຜີຍຊື່. ການແກ້ໄຂ policy.d/filter.

ທ່ານຈໍາເປັນຕ້ອງຊອກຫາເສັ້ນທີ່ຄ້າຍຄືກັນນີ້:

if (&outer.request:User-Name !~ /^(anon|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

ແລະຂ້າງລຸ່ມນີ້ໃນ elsif ເພີ່ມຄ່າທີ່ຕ້ອງການ:

elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

ໃນປັດຈຸບັນພວກເຮົາຈໍາເປັນຕ້ອງໄດ້ຍ້າຍໄປຢູ່ໃນໄດເລກະທໍລີ ໃບຢັ້ງຢືນ. ໃນທີ່ນີ້ທ່ານຈໍາເປັນຕ້ອງໃສ່ລະຫັດແລະໃບຢັ້ງຢືນຈາກເຈົ້າຫນ້າທີ່ໃບຢັ້ງຢືນທີ່ເຊື່ອຖືໄດ້, ທີ່ພວກເຮົາມີຢູ່ແລ້ວແລະຕ້ອງການສ້າງໃບຢັ້ງຢືນການເຊັນດ້ວຍຕົນເອງສໍາລັບ eap-guest.

ປ່ຽນພາລາມິເຕີໃນໄຟລ໌ ca.cnf.

ca.cnf

...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"

ພວກເຮົາຂຽນຄ່າດຽວກັນໃນໄຟລ໌ server.cnf. ພວກເຮົາປ່ຽນແປງເທົ່ານັ້ນ
ຊື່ສາມັນ:

server.cnf

...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"

ສ້າງ:

make

ພ້ອມ. ໄດ້ຮັບ server.crt и server.key ພວກເຮົາໄດ້ລົງທະບຽນຂ້າງເທິງແລ້ວໃນ eap-guest.

ແລະສຸດທ້າຍ, ໃຫ້ເພີ່ມຈຸດເຂົ້າເຖິງຂອງພວກເຮົາໃສ່ໄຟລ໌ client.conf. ຂ້ອຍມີ 7 ຂອງພວກເຂົາ. ເພື່ອບໍ່ໃຫ້ເພີ່ມແຕ່ລະຈຸດແຍກຕ່າງຫາກ, ພວກເຮົາຈະຂຽນພຽງແຕ່ເຄືອຂ່າຍທີ່ພວກເຂົາຕັ້ງຢູ່ (ຈຸດເຂົ້າເຖິງຂອງຂ້ອຍຢູ່ໃນ VLAN ແຍກຕ່າງຫາກ).

client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}

ຕົວຄວບຄຸມ Ubiquiti

ພວກເຮົາຍົກສູງເຄືອຂ່າຍແຍກຕ່າງຫາກກ່ຽວກັບຕົວຄວບຄຸມ. ໃຫ້ມັນເປັນ 192.168.2.0/24
ໄປທີ່ການຕັ້ງຄ່າ -> profile. ພວກເຮົາສ້າງອັນໃໝ່:

ພວກເຮົາຂຽນທີ່ຢູ່ແລະພອດຂອງເຄື່ອງແມ່ຂ່າຍ radius ແລະລະຫັດຜ່ານທີ່ຖືກຂຽນໄວ້ໃນໄຟລ໌ clients.conf:

ສ້າງຊື່ເຄືອຂ່າຍໄຮ້ສາຍໃໝ່. ເລືອກ WPA-EAP (ວິສາຫະກິດ) ເປັນວິທີການກວດສອບຄວາມຖືກຕ້ອງ ແລະລະບຸໂປຣໄຟລ໌ລັດສະໝີທີ່ສ້າງຂຶ້ນ:

ພວກເຮົາປະຫຍັດທຸກສິ່ງທຸກຢ່າງ, ນໍາໃຊ້ມັນແລະກ້າວຕໍ່ໄປ.

ການ​ຕັ້ງ​ຄ່າ​ລູກ​ຄ້າ​

ໃຫ້ເລີ່ມຕົ້ນດ້ວຍຄວາມຫຍຸ້ງຍາກທີ່ສຸດ!

Windows 10

ຄວາມຫຍຸ້ງຍາກແມ່ນມາຈາກຄວາມຈິງທີ່ວ່າ Windows ຍັງບໍ່ທັນຮູ້ວິທີການເຊື່ອມຕໍ່ກັບ WiFi ຂອງບໍລິສັດຜ່ານໂດເມນ. ດັ່ງນັ້ນ, ພວກເຮົາຕ້ອງອັບໂຫລດໃບຮັບຮອງຂອງພວກເຮົາໃສ່ບ່ອນເກັບໃບຢັ້ງຢືນທີ່ເຊື່ອຖືໄດ້. ໃນທີ່ນີ້ທ່ານສາມາດນໍາໃຊ້ທັງການລົງນາມດ້ວຍຕົນເອງແລະຈາກເຈົ້າຫນ້າທີ່ການຢັ້ງຢືນ. ຂ້ອຍຈະໃຊ້ອັນທີສອງ.

ຕໍ່ໄປ, ທ່ານຈໍາເປັນຕ້ອງສ້າງການເຊື່ອມຕໍ່ໃຫມ່. ເພື່ອເຮັດສິ່ງນີ້, ໄປທີ່ການຕັ້ງຄ່າເຄືອຂ່າຍແລະອິນເຕີເນັດ -> ເຄືອຂ່າຍແລະສູນແບ່ງປັນ -> ສ້າງແລະກໍາຫນົດຄ່າການເຊື່ອມຕໍ່ຫຼືເຄືອຂ່າຍໃຫມ່:

ໃສ່ຊື່ເຄືອຂ່າຍດ້ວຍຕົນເອງ ແລະປ່ຽນປະເພດຂອງຄວາມປອດໄພ. ຫຼັງຈາກທີ່ພວກເຮົາຄລິກໃສ່ ປ່ຽນການຕັ້ງຄ່າການເຊື່ອມຕໍ່ ແລະໃນແຖບຄວາມປອດໄພ, ເລືອກການພິສູດຢືນຢັນເຄືອຂ່າຍ - EAP-TTLS.

ພວກເຮົາເຂົ້າໄປໃນຕົວກໍານົດການ, ກໍານົດຄວາມລັບຂອງການກວດສອບຄວາມຖືກຕ້ອງ - ລູກ​ຄ້າ. ໃນຖານະເປັນສິດການຢັ້ງຢືນທີ່ເຊື່ອຖືໄດ້, ເລືອກໃບຢັ້ງຢືນທີ່ພວກເຮົາເພີ່ມ, ກວດເບິ່ງກ່ອງ "ຢ່າອອກຄໍາເຊີນໃຫ້ຜູ້ໃຊ້ຖ້າເຄື່ອງແມ່ຂ່າຍບໍ່ສາມາດໄດ້ຮັບອະນຸຍາດ" ແລະເລືອກວິທີການກວດສອບຄວາມຖືກຕ້ອງ - unencrypted password (PAP).

ຕໍ່ໄປ, ໄປທີ່ການຕັ້ງຄ່າຂັ້ນສູງ, ໃສ່ຫມາຍຕິກໃສ່ "Specify the authentication mode." ເລືອກ "ການຢືນຢັນຜູ້ໃຊ້" ແລະຄລິກໃສ່ ບັນທຶກຂໍ້ມູນປະຈໍາຕົວ. ທີ່ນີ້ເຈົ້າຈະຕ້ອງໃສ່ username_ldap ແລະ password_ldap

ພວກເຮົາປະຫຍັດທຸກສິ່ງທຸກຢ່າງ, ສະຫມັກ, ປິດ. ທ່ານສາມາດເຊື່ອມຕໍ່ກັບເຄືອຂ່າຍໃຫມ່.

Linux

ຂ້ອຍໄດ້ທົດສອບໃນ Ubuntu 18.04, 18.10, Fedora 29, 30.

ທໍາອິດ, ໃຫ້ດາວໂຫລດໃບຢັ້ງຢືນຂອງພວກເຮົາ. ຂ້ອຍບໍ່ພົບໃນ Linux ວ່າມັນເປັນໄປໄດ້ທີ່ຈະໃຊ້ໃບຢັ້ງຢືນລະບົບແລະບໍ່ວ່າຈະມີຮ້ານດັ່ງກ່າວຢູ່ທັງຫມົດ.

ພວກເຮົາຈະເຊື່ອມຕໍ່ຜ່ານໂດເມນ. ດັ່ງນັ້ນ, ພວກເຮົາຕ້ອງການໃບຢັ້ງຢືນຈາກອົງການຢັ້ງຢືນທີ່ໃບຢັ້ງຢືນຂອງພວກເຮົາຖືກຊື້.

ການເຊື່ອມຕໍ່ທັງຫມົດແມ່ນເຮັດຢູ່ໃນປ່ອງຢ້ຽມດຽວ. ເລືອກເຄືອຂ່າຍຂອງພວກເຮົາ:

ລູກຄ້າທີ່ບໍ່ເປີດເຜີຍຊື່
domain - ໂດເມນທີ່ອອກໃບຢັ້ງຢືນ

Android

ບໍ່ແມ່ນ Samsung

ຈາກຮຸ່ນ 7, ເມື່ອເຊື່ອມຕໍ່ WiFi, ທ່ານສາມາດນໍາໃຊ້ໃບຢັ້ງຢືນລະບົບໂດຍການລະບຸພຽງແຕ່ໂດເມນ:

domain - ໂດເມນທີ່ອອກໃບຢັ້ງຢືນ
ລູກຄ້າທີ່ບໍ່ເປີດເຜີຍຊື່

Samsung

ດັ່ງທີ່ຂ້າພະເຈົ້າຂຽນຂ້າງເທິງ, ອຸປະກອນ Samsung ບໍ່ຮູ້ວິທີການນໍາໃຊ້ໃບຢັ້ງຢືນລະບົບເມື່ອເຊື່ອມຕໍ່ກັບ WiFi, ແລະພວກເຂົາບໍ່ມີຄວາມສາມາດໃນການເຊື່ອມຕໍ່ຜ່ານໂດເມນ. ດັ່ງນັ້ນ, ທ່ານຕ້ອງເພີ່ມໃບຢັ້ງຢືນຮາກຂອງອໍານາດການຢັ້ງຢືນດ້ວຍຕົນເອງ (ca.pem, ພວກເຮົາເອົາມັນຢູ່ໃນເຄື່ອງແມ່ຂ່າຍ Radius). ນີ້ແມ່ນບ່ອນທີ່ການເຊັນດ້ວຍຕົນເອງຈະຖືກນໍາໃຊ້.

ດາວໂຫລດໃບຢັ້ງຢືນໃສ່ອຸປະກອນຂອງທ່ານແລະຕິດຕັ້ງມັນ.

ການຕິດຕັ້ງໃບຮັບຮອງ







ໃນເວລາດຽວກັນ, ທ່ານຈະຈໍາເປັນຕ້ອງໄດ້ກໍານົດຮູບແບບປົດລັອກຫນ້າຈໍ, ລະຫັດ PIN ຫຼືລະຫັດຜ່ານ, ຖ້າຫາກວ່າມັນຍັງບໍ່ໄດ້ຕັ້ງ:

ຂ້າພະເຈົ້າໄດ້ສະແດງໃຫ້ເຫັນທາງເລືອກທີ່ສະລັບສັບຊ້ອນສໍາລັບການຕິດຕັ້ງໃບຢັ້ງຢືນ. ໃນອຸປະກອນສ່ວນໃຫຍ່, ພຽງແຕ່ຄລິກໃສ່ໃບຢັ້ງຢືນການດາວໂຫຼດ.

ເມື່ອໃບຢັ້ງຢືນຖືກຕິດຕັ້ງ, ທ່ານສາມາດສືບຕໍ່ການເຊື່ອມຕໍ່:

certificate - ຊີ້ບອກອັນທີ່ຕິດຕັ້ງ
ຜູ້ໃຊ້ທີ່ບໍ່ເປີດເຜີຍຊື່ - ແຂກ

MacOS

ອຸປະກອນ Apple ອອກຈາກກ່ອງສາມາດເຊື່ອມຕໍ່ກັບ EAP-TLS ໄດ້ເທົ່ານັ້ນ, ແຕ່ທ່ານຍັງຕ້ອງຖິ້ມໃບຢັ້ງຢືນໃສ່ພວກມັນ. ເພື່ອກໍານົດວິທີການເຊື່ອມຕໍ່ທີ່ແຕກຕ່າງກັນ, ທ່ານຈໍາເປັນຕ້ອງໃຊ້ Apple Configurator 2. ດັ່ງນັ້ນ, ກ່ອນອື່ນ ໝົດ ທ່ານຕ້ອງດາວໂຫລດມັນໃສ່ Mac ຂອງທ່ານ, ສ້າງໂປຣໄຟລ໌ໃຫມ່ແລະເພີ່ມການຕັ້ງຄ່າ WiFi ທີ່ຈໍາເປັນທັງຫມົດ.

Apple Configurator



ໃສ່ຊື່ເຄືອຂ່າຍຂອງທ່ານທີ່ນີ້
ປະເພດຄວາມປອດໄພ - WPA2 Enterprise
ປະເພດ EAP ທີ່ຍອມຮັບ - TTLS
ຊື່ຜູ້ໃຊ້ ແລະລະຫັດຜ່ານ - ປ່ອຍໃຫ້ຫວ່າງເປົ່າ
ການກວດສອບພາຍໃນ - PAP
Outer Identity-Client

ແຖບຄວາມໄວ້ວາງໃຈ. ໃນທີ່ນີ້ພວກເຮົາລະບຸໂດເມນຂອງພວກເຮົາ

ທັງໝົດ. ໂປຣໄຟລ໌ສາມາດຖືກບັນທຶກໄວ້, ເຊັນຊື່ ແລະແຈກຢາຍໃຫ້ອຸປະກອນຕ່າງໆ

ຫຼັງຈາກ profile ແມ່ນກຽມພ້ອມ, ທ່ານຈໍາເປັນຕ້ອງໄດ້ດາວໂຫລດມັນໄປ poppy ແລະຕິດຕັ້ງມັນ. ໃນລະຫວ່າງຂະບວນການຕິດຕັ້ງ, ທ່ານຈະຕ້ອງລະບຸ usernmae_ldap ແລະ password_ldap ຂອງຜູ້ໃຊ້:

iOS

ຂະບວນການແມ່ນຄ້າຍຄືກັນກັບ macOS. ທ່ານຈໍາເປັນຕ້ອງໃຊ້ໂປຣໄຟລ໌ (ທ່ານສາມາດໃຊ້ອັນດຽວກັນກັບ macOS. ວິທີການສ້າງໂປຣໄຟລ໌ໃນ Apple Configurator, ເບິ່ງຂ້າງເທິງ).

ດາວໂຫລດໂປຣໄຟລ໌, ຕິດຕັ້ງ, ໃສ່ຂໍ້ມູນປະຈໍາຕົວ, ເຊື່ອມຕໍ່:

ຫມົດ​ເທົ່າ​ນີ້. ພວກເຮົາຕັ້ງຄ່າເຊີບເວີ Radius, ຊິ້ງມັນກັບ FreeIPA, ແລະບອກ Ubiquiti APs ໃຫ້ໃຊ້ WPA2-EAP.

ຄໍາຖາມທີ່ເປັນໄປໄດ້

ໃນ: ວິ​ທີ​ການ​ໂອນ​ຂໍ້​ມູນ / ໃບ​ຢັ້ງ​ຢືນ​ໃຫ້​ພະ​ນັກ​ງານ​?

ກ່ຽວກັບ: ຂ້າ​ພະ​ເຈົ້າ​ເກັບ​ຮັກ​ສາ​ໃບ​ຢັ້ງ​ຢືນ / ຂໍ້​ມູນ​ທັງ​ຫມົດ​ກ່ຽວ​ກັບ ftp ທີ່​ມີ​ການ​ເຂົ້າ​ເຖິງ​ເວັບ​ໄຊ​ຕ​໌​. ເພີ່ມເຄືອຂ່າຍແຂກທີ່ມີຄວາມໄວຈໍາກັດແລະການເຂົ້າເຖິງອິນເຕີເນັດເທົ່ານັ້ນ, ຍົກເວັ້ນ ftp.
ການກວດສອບຄວາມຖືກຕ້ອງຈະແກ່ຍາວເຖິງ 2 ມື້, ຫຼັງຈາກນັ້ນມັນຖືກຕັ້ງຄືນໃຫມ່ແລະລູກຄ້າຖືກປະໄວ້ໂດຍບໍ່ມີອິນເຕີເນັດ. ນັ້ນ. ເມື່ອພະນັກງານຕ້ອງການເຊື່ອມຕໍ່ກັບ WiFi, ລາວທໍາອິດເຊື່ອມຕໍ່ກັບເຄືອຂ່າຍແຂກ, ເຂົ້າເຖິງ FTP, ດາວໂຫລດໃບຢັ້ງຢືນຫຼືໂປຣໄຟລ໌ທີ່ລາວຕ້ອງການ, ຕິດຕັ້ງມັນ, ແລະຫຼັງຈາກນັ້ນສາມາດເຊື່ອມຕໍ່ກັບເຄືອຂ່າຍຂອງບໍລິສັດ.

ໃນ: ເປັນຫຍັງບໍ່ໃຊ້ໂຄງການກັບ MSCHAPv2? ມັນປອດໄພກວ່າ!

ກ່ຽວກັບ: ກ່ອນອື່ນ ໝົດ, ໂຄງການດັ່ງກ່າວເຮັດວຽກໄດ້ດີໃນ NPS (ລະບົບນະໂຍບາຍເຄືອຂ່າຍ Windows), ໃນການປະຕິບັດຂອງພວກເຮົາ, ມັນເປັນສິ່ງຈໍາເປັນທີ່ຈະເພີ່ມການຕັ້ງຄ່າ LDAP (FreeIpa) ແລະເກັບຮັກສາລະຫັດລັບໃນເຄື່ອງແມ່ຂ່າຍ. ຕື່ມ. ມັນບໍ່ໄດ້ຖືກແນະນໍາໃຫ້ເຮັດການຕັ້ງຄ່າ, ເພາະວ່າ ນີ້ສາມາດນໍາໄປສູ່ບັນຫາຕ່າງໆທີ່ມີ synchronization ຂອງລະບົບ ultrasound. ອັນທີສອງ, hash ແມ່ນ MD4, ສະນັ້ນມັນບໍ່ໄດ້ເພີ່ມຄວາມປອດໄພຫຼາຍ.

ໃນ: ມັນເປັນໄປໄດ້ທີ່ຈະອະນຸຍາດໃຫ້ອຸປະກອນໂດຍ mac-addresses?

ກ່ຽວກັບ: ບໍ່, ອັນນີ້ບໍ່ປອດໄພ, ຜູ້ໂຈມຕີສາມາດປ່ຽນທີ່ຢູ່ MAC, ແລະຍິ່ງໄປກວ່ານັ້ນ, ການອະນຸຍາດຈາກທີ່ຢູ່ MAC ແມ່ນບໍ່ຮອງຮັບໃນຫຼາຍອຸປະກອນ.

ໃນ: ໂດຍທົ່ວໄປແລ້ວໃບຢັ້ງຢືນທັງໝົດເຫຼົ່ານີ້ຈະໃຊ້ຫຍັງແດ່? ເຈົ້າສາມາດເຂົ້າຮ່ວມໂດຍບໍ່ມີພວກມັນໄດ້ບໍ?

ກ່ຽວກັບ: ໃບຢັ້ງຢືນຖືກນໍາໃຊ້ເພື່ອອະນຸຍາດໃຫ້ເຄື່ອງແມ່ຂ່າຍ. ເຫຼົ່ານັ້ນ. ເມື່ອເຊື່ອມຕໍ່, ອຸປະກອນຈະກວດເບິ່ງວ່າມັນເປັນເຄື່ອງແມ່ຂ່າຍທີ່ສາມາດເຊື່ອຖືໄດ້ຫຼືບໍ່. ຖ້າມັນເປັນ, ຫຼັງຈາກນັ້ນການພິສູດຢືນຢັນສືບຕໍ່, ຖ້າບໍ່ແມ່ນ, ການເຊື່ອມຕໍ່ຖືກປິດ. ທ່ານສາມາດເຊື່ອມຕໍ່ໂດຍບໍ່ມີໃບຢັ້ງຢືນ, ແຕ່ຖ້າຜູ້ໂຈມຕີຫຼືເພື່ອນບ້ານຕັ້ງເຄື່ອງແມ່ຂ່າຍລັດສະຫມີແລະຈຸດເຂົ້າເຖິງທີ່ມີຊື່ດຽວກັນກັບພວກເຮົາຢູ່ເຮືອນ, ລາວສາມາດຂັດຂວາງຂໍ້ມູນປະຈໍາຕົວຂອງຜູ້ໃຊ້ໄດ້ງ່າຍ (ຢ່າລືມວ່າພວກມັນຖືກສົ່ງຜ່ານຂໍ້ຄວາມທີ່ຊັດເຈນ). ແລະເມື່ອໃບຮັບຮອງຖືກໃຊ້, ສັດຕູຈະເຫັນຢູ່ໃນບັນທຶກຂອງລາວພຽງແຕ່ຊື່ຜູ້ໃຊ້ທີ່ສົມມຸດຕິຖານຂອງພວກເຮົາ - ແຂກຫຼືລູກຄ້າແລະຂໍ້ຜິດພາດປະເພດ - ໃບຢັ້ງຢືນ CA ທີ່ບໍ່ຮູ້ຈັກ.

ເພີ່ມເຕີມກ່ຽວກັບ macOSປົກກະຕິແລ້ວໃນ macOS, ການຕິດຕັ້ງລະບົບໃຫມ່ແມ່ນເຮັດຜ່ານອິນເຕີເນັດ. ໃນ​ຮູບ​ແບບ​ການ​ຟື້ນ​ຕົວ​, Mac ຕ້ອງ​ໄດ້​ຮັບ​ການ​ເຊື່ອມ​ຕໍ່​ກັບ WiFi​, ແລະ WiFi ບໍ​ລິ​ສັດ​ຂອງ​ພວກ​ເຮົາ​ຫຼື​ເຄືອ​ຂ່າຍ​ແຂກ​ຈະ​ບໍ່​ເຮັດ​ວຽກ​ຢູ່​ທີ່​ນີ້​. ສ່ວນບຸກຄົນ, ຂ້າພະເຈົ້າໄດ້ຍົກເຄືອຂ່າຍອື່ນ, WPA2-PSK ປົກກະຕິ, ເຊື່ອງໄວ້, ພຽງແຕ່ສໍາລັບການດໍາເນີນງານດ້ານວິຊາການ. ຫຼືທ່ານຍັງສາມາດສ້າງ USB flash drive ທີ່ສາມາດເລີ່ມຕົ້ນໄດ້ກັບລະບົບລ່ວງຫນ້າ. ແຕ່ຖ້າຫາກວ່າ poppy ແມ່ນຫຼັງຈາກປີ 2015, ທ່ານຍັງຈະຕ້ອງຊອກຫາອະແດບເຕີສໍາລັບ flash drive ນີ້)

ແຫຼ່ງຂໍ້ມູນ: www.habr.com