वायफाय एंटरप्राइझ. FreeRadius + FreeIPA + Ubiquiti

कॉर्पोरेट वायफाय आयोजित करण्याच्या काही उदाहरणांचे वर्णन आधीच केले गेले आहे. मी एक समान उपाय कसा अंमलात आणला आणि वेगवेगळ्या उपकरणांवर कनेक्ट करताना मला कोणत्या समस्यांना तोंड द्यावे लागले याचे वर्णन मी येथे करेन. आम्ही नोंदणीकृत वापरकर्त्यांसह विद्यमान LDAP वापरू, FreeRadius वाढवू आणि Ubnt कंट्रोलरवर WPA2-Enterprise कॉन्फिगर करू. सर्व काही सोपे असल्याचे दिसते. बघूया…

EAP पद्धतींबद्दल थोडेसे

कार्य पुढे जाण्यापूर्वी, आम्ही आमच्या सोल्यूशनमध्ये कोणती प्रमाणीकरण पद्धत वापरणार आहोत हे ठरविणे आवश्यक आहे.

विकिपीडियावरून:

EAP हे प्रमाणीकरण फ्रेमवर्क आहे जे वायरलेस नेटवर्क आणि पॉइंट-टू-पॉइंट कनेक्शनमध्ये वापरले जाते. स्वरूप प्रथम RFC 3748 मध्ये वर्णन केले गेले आणि RFC 5247 मध्ये अद्यतनित केले गेले.
EAP चा वापर प्रमाणीकरण पद्धत निवडण्यासाठी, की पास करण्यासाठी आणि प्लग-इनसह त्या की प्रक्रिया करण्यासाठी EAP पद्धती म्हणतात. अनेक EAP पद्धती आहेत, दोन्ही EAP स्वतः परिभाषित केल्या आहेत आणि वैयक्तिक विक्रेत्यांद्वारे जारी केल्या आहेत. EAP लिंक लेयर परिभाषित करत नाही, ते फक्त संदेश स्वरूप परिभाषित करते. EAP वापरणाऱ्या प्रत्येक प्रोटोकॉलचा स्वतःचा EAP संदेश एन्कॅप्सुलेशन प्रोटोकॉल असतो.

पद्धती स्वतः:

• LEAP हा CISCO द्वारे विकसित केलेला एक मालकीचा प्रोटोकॉल आहे. असुरक्षा आढळल्या. सध्या वापरासाठी शिफारस केलेली नाही
• EAP-TLS वायरलेस विक्रेत्यांमध्ये चांगले समर्थित आहे. हा एक सुरक्षित प्रोटोकॉल आहे कारण तो SSL मानकांचा उत्तराधिकारी आहे. क्लायंट सेट करणे खूप क्लिष्ट आहे. तुम्हाला पासवर्ड व्यतिरिक्त क्लायंट प्रमाणपत्र आवश्यक आहे. अनेक प्रणालींवर समर्थित
• EAP-TTLS - बर्‍याच सिस्टीमवर मोठ्या प्रमाणावर समर्थित, केवळ प्रमाणीकरण सर्व्हरवर PKI प्रमाणपत्रे वापरून चांगली सुरक्षा प्रदान करते
• EAP-MD5 हे आणखी एक खुले मानक आहे. किमान सुरक्षा देते. असुरक्षित, परस्पर प्रमाणीकरण आणि की जनरेशनला समर्थन देत नाही
• EAP-IKEv2 - इंटरनेट की एक्सचेंज प्रोटोकॉल आवृत्ती 2 वर आधारित. क्लायंट आणि सर्व्हर दरम्यान परस्पर प्रमाणीकरण आणि सत्र की स्थापना प्रदान करते
• PEAP हे खुले मानक म्हणून CISCO, Microsoft आणि RSA सुरक्षा यांचे संयुक्त समाधान आहे. उत्पादनांमध्ये मोठ्या प्रमाणावर उपलब्ध, खूप चांगली सुरक्षा प्रदान करते. EAP-TTLS प्रमाणेच, फक्त सर्व्हरच्या बाजूला प्रमाणपत्र आवश्यक आहे
• PEAPv0/EAP-MSCHAPv2 - EAP-TLS नंतर, हे जगातील दुसरे मोठ्या प्रमाणावर वापरले जाणारे मानक आहे. Microsoft, Cisco, Apple, Linux मध्ये वापरलेले क्लायंट-सर्व्हर संबंध
• PEAPv1/EAP-GTC - PEAPv0/EAP-MSCHAPv2 ला पर्याय म्हणून सिस्कोने तयार केले. प्रमाणीकरण डेटा कोणत्याही प्रकारे संरक्षित करत नाही. Windows OS वर समर्थित नाही
• EAP-FAST ही LEAP च्या उणीवा दूर करण्यासाठी Cisco ने विकसित केलेली पद्धत आहे. प्रोटेक्टेड ऍक्सेस क्रेडेंशियल (PAC) वापरते. पूर्णपणे अपूर्ण

या सर्व विविधतेमध्ये, निवड अद्याप उत्कृष्ट नाही. प्रमाणीकरण पद्धत आवश्यक आहे: चांगली सुरक्षा, सर्व उपकरणांवर समर्थन (Windows 10, macOS, Linux, Android, iOS) आणि खरं तर, जितके सोपे तितके चांगले. म्हणून, निवड PAP प्रोटोकॉलच्या संयोगाने EAP-TTLS वर पडली.
प्रश्न उद्भवू शकतो - PAP का वापरावे? सर्व केल्यानंतर, तो स्पष्ट मजकूर मध्ये संकेतशब्द प्रसारित?

होय ते खरंय. FreeRadius आणि FreeIPA मधील संप्रेषण अगदी याप्रमाणे होईल. डीबग मोडमध्ये, तुम्ही वापरकर्तानाव आणि पासवर्ड कसा पाठवला जातो याचा मागोवा घेऊ शकता. होय, आणि त्यांना जाऊ द्या, फक्त तुमच्याकडे FreeRadius सर्व्हरमध्ये प्रवेश आहे.

आपण EAP-TTLS च्या कार्याबद्दल अधिक वाचू शकता येथे

फ्रीरेडियस

CentOS 7.6 वर FreeRadius वाढवले ​​जाईल. येथे काहीही क्लिष्ट नाही, आम्ही ते नेहमीच्या पद्धतीने सेट करतो.

yum install freeradius freeradius-utils freeradius-ldap -y

पॅकेजेसमधून आवृत्ती 3.0.13 स्थापित केली आहे. नंतरचे घेतले जाऊ शकते https://freeradius.org/

यानंतर, FreeRadius आधीच कार्यरत आहे. तुम्ही /etc/raddb/users मध्ये ओळ अनकमेंट करू शकता

steve   Cleartext-Password := "testing"

डीबग मोडमध्ये सर्व्हरमध्ये लाँच करा

freeradius -X

आणि लोकलहोस्ट वरून चाचणी कनेक्शन बनवा

radtest steve testing 127.0.0.1 1812 testing123

उत्तर मिळाले 115:127.0.0.1 पासून 1812:127.0.0.1 लांबी 56081 पर्यंत प्रवेश-स्वीकार आयडी 20 प्राप्त झाला, याचा अर्थ सर्व काही ठीक आहे. पुढे जा.

आम्ही मॉड्यूल कनेक्ट करतो ldap.

ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

आणि आम्ही ते लगेच बदलू. फ्रीआयपीएमध्ये प्रवेश करण्यास सक्षम होण्यासाठी आम्हाला फ्रीरेडियसची आवश्यकता आहे

mods-सक्षम/ldap

ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...

त्रिज्या सर्व्हर रीस्टार्ट करा आणि LDAP वापरकर्त्यांचे सिंक्रोनाइझेशन तपासा:

radtest user_ldap password_ldap localhost 1812 testing123

eap मध्ये संपादन करत आहे mods-सक्षम/eap
येथे आपण eap ची दोन उदाहरणे जोडू. ते फक्त प्रमाणपत्रे आणि की मध्ये भिन्न असतील. हे असे का आहे ते मी खाली स्पष्ट करेन.

mods-सक्षम/eap

eap eap-client {                                                                                                                                                                                                                           default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_file = ${certdir}/fisrt.key
           certificate_file = ${certdir}/first.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}
eap eap-guest {
default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_passwotd=blablabla
           private_key_file = ${certdir}/server.key
           certificate_file = ${certdir}/server.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}

पुढील संपादन साइट-सक्षम/डीफॉल्ट. अधिकृत आणि प्रमाणीकृत विभाग स्वारस्य आहेत.

साइट-सक्षम/डीफॉल्ट

authorize {
  filter_username
  preprocess
  if (&User-Name == "guest") {
   eap-guest {
       ok = return
   }
  }
  elsif (&User-Name == "client") {
    eap-client {
       ok = return 
    }
  }
  else {
    eap-guest {
       ok = return
    }
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  logintime
  pap
  }

authenticate {
  Auth-Type LDAP {
    ldap
  }
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  pap
}

अधिकृत विभागात, आम्‍ही आवश्‍यक नसलेले सर्व मॉड्यूल काढून टाकतो. आम्ही फक्त ldap सोडतो. वापरकर्तानावाद्वारे क्लायंट सत्यापन जोडा. म्हणूनच आम्ही वरील दोन उदाहरणे जोडली आहेत.

मल्टी ईएपीवस्तुस्थिती अशी आहे की काही डिव्हाइसेस कनेक्ट करताना, आम्ही सिस्टम प्रमाणपत्रे वापरू आणि डोमेन निर्दिष्ट करू. आमच्याकडे विश्वसनीय प्रमाणपत्र प्राधिकरणाकडून प्रमाणपत्र आणि की आहे. वैयक्तिकरित्या, माझ्या मते, प्रत्येक डिव्हाइसवर स्वत: ची स्वाक्षरी केलेले प्रमाणपत्र फेकण्यापेक्षा अशी कनेक्शन प्रक्रिया सोपी आहे. परंतु स्व-स्वाक्षरी प्रमाणपत्रांशिवायही ते कामी आले नाही. Samsung उपकरणे आणि Android =< 6 आवृत्त्या सिस्टम प्रमाणपत्रे वापरू शकत नाहीत. म्हणून, आम्ही त्यांच्यासाठी स्वयं-स्वाक्षरी केलेल्या प्रमाणपत्रांसह eap-अतिथीचे एक वेगळे उदाहरण तयार करतो. इतर सर्व उपकरणांसाठी, आम्ही विश्वसनीय प्रमाणपत्रासह eap-client वापरू. डिव्हाइस कनेक्ट केलेले असताना वापरकर्ता-नाव अनामिक फील्डद्वारे निर्धारित केले जाते. फक्त 3 मूल्यांना अनुमती आहे: अतिथी, क्लायंट आणि रिक्त फील्ड. बाकी सर्व टाकून दिले आहे. राजकारण्यांमध्ये ते कॉन्फिगर केले जाईल. मी थोड्या वेळाने एक उदाहरण देईन.

मध्ये अधिकृत आणि प्रमाणीकृत विभाग संपादित करूया साइट-सक्षम/आतील-बोगदा

साइट-सक्षम/आतील-बोगदा

authorize {
  filter_username
  filter_inner_identity
  update control {
   &Proxy-To-Realm := LOCAL
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  digest
  logintime
  pap
  }

authenticate {
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  Auth-Type PAP {
    pap
  }
  ldap
}

पुढे, तुम्हाला निनावी लॉगिनसाठी कोणती नावे वापरली जाऊ शकतात हे धोरणांमध्ये नमूद करणे आवश्यक आहे. संपादन policy.d/filter.

आपल्याला यासारख्या ओळी शोधण्याची आवश्यकता आहे:

if (&outer.request:User-Name !~ /^(anon|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

आणि खाली elsif मध्ये इच्छित मूल्ये जोडा:

elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

आता आपल्याला डिरेक्टरीमध्ये जावे लागेल प्रमाणपत्रे. येथे आम्हाला विश्वासार्ह प्रमाणन प्राधिकरणाकडून की आणि प्रमाणपत्र ठेवणे आवश्यक आहे, जे आमच्याकडे आधीपासूनच आहे आणि आम्हाला eap-अतिथीसाठी स्व-स्वाक्षरी केलेले प्रमाणपत्रे व्युत्पन्न करणे आवश्यक आहे.

फाइलमधील पॅरामीटर्स बदला ca.cnf.

ca.cnf

...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"

आम्ही फाइलमध्ये समान मूल्ये लिहितो server.cnf. आम्ही फक्त बदलतो
सामान्य नाव:

server.cnf

...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"

आम्ही तयार करतो:

make

तयार. मिळाले server.crt и सर्व्हर.की आम्ही वर आधीच eap-guest मध्ये नोंदणी केली आहे.

आणि शेवटी, फाईलमध्ये आमचे प्रवेश बिंदू जोडूया क्लायंट कॉन्फ. माझ्याकडे त्यापैकी 7 आहेत. प्रत्येक बिंदू स्वतंत्रपणे जोडू नये म्हणून, आम्ही फक्त ते ज्या नेटवर्कमध्ये स्थित आहे ते लिहू (माझे प्रवेश बिंदू वेगळ्या VLAN मध्ये आहेत).

client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}

Ubiquiti नियंत्रक

आम्ही कंट्रोलरवर वेगळे नेटवर्क वाढवतो. ते 192.168.2.0/24 असू द्या
सेटिंग्ज -> प्रोफाइल वर जा. आम्ही एक नवीन तयार करतो:

आम्ही त्रिज्या सर्व्हरचा पत्ता आणि पोर्ट आणि फाइलमध्ये लिहिलेला पासवर्ड लिहितो clients.conf:

नवीन वायरलेस नेटवर्क नाव तयार करा. प्रमाणीकरण पद्धत म्हणून WPA-EAP (एंटरप्राइझ) निवडा आणि तयार केलेली त्रिज्या प्रोफाइल निर्दिष्ट करा:

आम्ही सर्वकाही जतन करतो, अर्ज करतो आणि पुढे जातो.

क्लायंट सेट करणे

चला सर्वात कठीण सह प्रारंभ करूया!

विंडोज 10

अडचण या वस्तुस्थितीवर येते की विंडोजला अद्याप डोमेनद्वारे कॉर्पोरेट वायफायशी कसे कनेक्ट करावे हे माहित नाही. म्हणून, आम्हाला आमचे प्रमाणपत्र स्वतः विश्वसनीय प्रमाणपत्र स्टोअरमध्ये अपलोड करावे लागेल. येथे तुम्ही स्व-स्वाक्षरी केलेले आणि प्रमाणन प्राधिकरणाकडून दोन्ही वापरू शकता. मी दुसरा वापरेन.

पुढे, आपल्याला नवीन कनेक्शन तयार करण्याची आवश्यकता आहे. हे करण्यासाठी, नेटवर्क आणि इंटरनेट सेटिंग्ज वर जा -> नेटवर्क आणि शेअरिंग केंद्र -> नवीन कनेक्शन किंवा नेटवर्क तयार करा आणि कॉन्फिगर करा:

नेटवर्कचे नाव व्यक्तिचलितपणे प्रविष्ट करा आणि सुरक्षिततेचा प्रकार बदला. आम्ही वर क्लिक केल्यानंतर कनेक्शन सेटिंग्ज बदला आणि सुरक्षा टॅबमध्ये, नेटवर्क प्रमाणीकरण निवडा - EAP-TTLS.

आम्ही पॅरामीटर्समध्ये जातो, प्रमाणीकरणाची गोपनीयता लिहून देतो - क्लायंट. एक विश्वासार्ह प्रमाणन अधिकारी म्हणून, आम्ही जोडलेले प्रमाणपत्र निवडा, "सर्व्हर अधिकृत नसल्यास वापरकर्त्यास आमंत्रण जारी करू नका" बॉक्स चेक करा आणि प्रमाणीकरण पद्धत निवडा - अनएनक्रिप्टेड पासवर्ड (PAP).

पुढे, प्रगत सेटिंग्जवर जा, "प्रमाणीकरण मोड निर्दिष्ट करा" वर टिक लावा. "वापरकर्ता प्रमाणीकरण" निवडा आणि वर क्लिक करा क्रेडेन्शियल्स जतन करा. येथे तुम्हाला username_ldap आणि password_ldap टाकावे लागेल

आम्ही सर्वकाही जतन करतो, लागू करतो, बंद करतो. तुम्ही नवीन नेटवर्कशी कनेक्ट करू शकता.

linux

मी उबंटू 18.04, 18.10, फेडोरा 29, 30 वर चाचणी केली.

प्रथम, आमचे प्रमाणपत्र डाउनलोड करूया. मला लिनक्समध्ये आढळले नाही की सिस्टम प्रमाणपत्रे वापरणे शक्य आहे की नाही आणि असे स्टोअर अजिबात आहे की नाही.

आम्ही डोमेनद्वारे कनेक्ट करू. म्हणून, आम्हाला ज्या प्रमाणन प्राधिकरणाकडून आमचे प्रमाणपत्र खरेदी केले गेले होते त्या प्रमाणपत्राची आवश्यकता आहे.

सर्व कनेक्शन एका विंडोमध्ये केले जातात. आमचे नेटवर्क निवडा:

अनामिक-क्लायंट
डोमेन - ज्या डोमेनसाठी प्रमाणपत्र जारी केले जाते

Android

सॅमसंग नसलेले

आवृत्ती 7 पासून, वायफाय कनेक्ट करताना, तुम्ही फक्त डोमेन निर्दिष्ट करून सिस्टम प्रमाणपत्रे वापरू शकता:

डोमेन - ज्या डोमेनसाठी प्रमाणपत्र जारी केले जाते
अनामिक-क्लायंट

सॅमसंग

मी वर लिहिल्याप्रमाणे, सॅमसंग डिव्हाइसेसना WiFi कनेक्ट करताना सिस्टम प्रमाणपत्र कसे वापरावे हे माहित नसते आणि त्यांच्याकडे डोमेनद्वारे कनेक्ट करण्याची क्षमता नसते. म्हणून, तुम्हाला प्रमाणन प्राधिकरणाचे मूळ प्रमाणपत्र व्यक्तिचलितपणे जोडणे आवश्यक आहे (ca.pem, ते त्रिज्या सर्व्हरवरून घ्या). येथे स्व-स्वाक्षरी वापरली जाईल.

तुमच्या डिव्हाइसवर प्रमाणपत्र डाउनलोड करा आणि ते स्थापित करा.

प्रमाणपत्र स्थापना







त्याच वेळी, तुम्हाला स्क्रीन अनलॉक पॅटर्न, पिन कोड किंवा पासवर्ड सेट करणे आवश्यक आहे, जर ते आधीपासून सेट केले नसेल:

मी प्रमाणपत्र स्थापित करण्याची एक जटिल आवृत्ती दर्शविली. बर्‍याच डिव्हाइसेसवर, डाउनलोड केलेल्या प्रमाणपत्रावर क्लिक करा.

प्रमाणपत्र स्थापित झाल्यावर, आपण कनेक्शनवर पुढे जाऊ शकता:

प्रमाणपत्र - स्थापित केलेले एक सूचित करा
निनावी वापरकर्ता - अतिथी

MacOS

बॉक्सच्या बाहेर असलेली Apple उपकरणे केवळ EAP-TLS शी कनेक्ट होऊ शकतात, परंतु तरीही तुम्हाला त्यांच्याकडे प्रमाणपत्र फेकणे आवश्यक आहे. भिन्न कनेक्शन पद्धत निर्दिष्ट करण्यासाठी, आपल्याला Apple Configurator 2 वापरण्याची आवश्यकता आहे. त्यानुसार, आपण प्रथम ते आपल्या Mac वर डाउनलोड करणे आवश्यक आहे, एक नवीन प्रोफाइल तयार करणे आणि सर्व आवश्यक WiFi सेटिंग्ज जोडणे आवश्यक आहे.

ऍपल कॉन्फिगरेटर



येथे तुमचे नेटवर्क नाव प्रविष्ट करा
सुरक्षा प्रकार - WPA2 Enterprise
स्वीकारलेले EAP प्रकार - TTLS
वापरकर्ता नाव आणि पासवर्ड - रिक्त सोडा
अंतर्गत प्रमाणीकरण - PAP
बाह्य ओळख-ग्राहक

ट्रस्ट टॅब. येथे आम्ही आमचे डोमेन निर्दिष्ट करतो

सर्व. प्रोफाईल सेव्ह केले जाऊ शकते, साइन इन केले जाऊ शकते आणि डिव्हाइसेसवर वितरित केले जाऊ शकते

प्रोफाइल तयार झाल्यानंतर, आपल्याला ते खसखसवर डाउनलोड करणे आणि ते स्थापित करणे आवश्यक आहे. इंस्टॉलेशन प्रक्रियेदरम्यान, तुम्हाला वापरकर्त्याचा usernmae_ldap आणि password_ldap निर्दिष्ट करणे आवश्यक आहे:

iOS

प्रक्रिया macOS सारखीच आहे. तुम्हाला प्रोफाइल वापरण्याची आवश्यकता आहे (तुम्ही macOS प्रमाणेच वापरू शकता. Apple Configurator मध्ये प्रोफाइल कसे तयार करायचे ते पहा).

प्रोफाइल डाउनलोड करा, स्थापित करा, क्रेडेन्शियल प्रविष्ट करा, कनेक्ट करा:

इतकंच. आम्ही रेडियस सर्व्हर सेट केला, तो FreeIPA सह समक्रमित केला आणि Ubiquiti APs ला WPA2-EAP वापरण्यास सांगितले.

संभाव्य प्रश्न

मध्ये: एखाद्या कर्मचाऱ्याला प्रोफाइल/प्रमाणपत्र कसे हस्तांतरित करावे?

याबद्दल: मी वेब प्रवेशासह सर्व प्रमाणपत्रे/प्रोफाइल ftp वर संग्रहित करतो. वेगमर्यादेसह अतिथी नेटवर्क वाढवले ​​आणि ftp अपवाद वगळता फक्त इंटरनेटवर प्रवेश केला.
प्रमाणीकरण 2 दिवस टिकते, त्यानंतर ते रीसेट केले जाते आणि क्लायंट इंटरनेटशिवाय सोडला जातो. ते. जेव्हा एखाद्या कर्मचाऱ्याला वायफायशी कनेक्ट करायचे असते, तेव्हा तो प्रथम अतिथी नेटवर्कशी कनेक्ट करतो, FTP ऍक्सेस करतो, त्याला आवश्यक असलेले प्रमाणपत्र किंवा प्रोफाइल डाउनलोड करतो, ते स्थापित करतो आणि नंतर कॉर्पोरेट नेटवर्कशी कनेक्ट होऊ शकतो.

मध्ये: MSCHAPv2 सह स्कीमा का वापरू नये? ती अधिक सुरक्षित आहे!

याबद्दल: सर्वप्रथम, अशी योजना NPS (विंडोज नेटवर्क पॉलिसी सिस्टीम) वर चांगली कार्य करते, आमच्या अंमलबजावणीमध्ये अतिरिक्तपणे LDAP (FreeIpa) कॉन्फिगर करणे आणि सर्व्हरवर पासवर्ड हॅश संग्रहित करणे आवश्यक आहे. अॅड. सेटिंग्ज करणे उचित नाही, कारण. यामुळे अल्ट्रासाऊंड सिंक्रोनाइझ करण्याच्या विविध समस्या उद्भवू शकतात. दुसरे, हॅश MD4 आहे, त्यामुळे ते जास्त सुरक्षा जोडत नाही.

मध्ये: मॅक-पत्त्यांसह डिव्हाइस अधिकृत करणे शक्य आहे का?

याबद्दल: नाही, हे सुरक्षित नाही, आक्रमणकर्ता MAC पत्ते फसवू शकतो, आणि त्याहीपेक्षा, MAC पत्त्यांकडून अधिकृतता अनेक उपकरणांवर समर्थित नाही

मध्ये: ही सर्व प्रमाणपत्रे का वापरायची? आपण त्यांच्याशिवाय कनेक्ट करू शकता

याबद्दल: प्रमाणपत्रे सर्व्हरला अधिकृत करण्यासाठी वापरली जातात. त्या. कनेक्‍ट करताना, डिव्‍हाइस तपासते की तो असा सर्व्हर आहे की ज्यावर विश्‍वास ठेवता येईल की नाही. ते असल्यास, प्रमाणीकरण चालू होते, नसल्यास, कनेक्शन बंद होते. तुम्ही प्रमाणपत्रांशिवाय कनेक्ट करू शकता, परंतु जर एखादा हल्लेखोर किंवा शेजारी आपल्या घरी असलेल्या समान नावाचा त्रिज्या सर्व्हर आणि ऍक्सेस पॉईंट सेट करत असेल, तर तो वापरकर्त्याचे क्रेडेन्शियल्स सहजपणे रोखू शकतो (ते स्पष्ट मजकूरात प्रसारित केले आहेत हे विसरू नका) . आणि जेव्हा एखादे प्रमाणपत्र वापरले जाते, तेव्हा शत्रूला त्याच्या लॉगमध्ये फक्त आमचे काल्पनिक वापरकर्ता-नाव दिसेल - अतिथी किंवा क्लायंट आणि एक प्रकारची त्रुटी - अज्ञात CA प्रमाणपत्र

macOS बद्दल थोडे अधिकसहसा macOS वर, सिस्टम पुन्हा स्थापित करणे इंटरनेटद्वारे केले जाते. पुनर्प्राप्ती मोडमध्ये, Mac WiFi शी कनेक्ट केलेला असणे आवश्यक आहे आणि आमचे कॉर्पोरेट WiFi किंवा अतिथी नेटवर्क येथे कार्य करणार नाही. वैयक्तिकरित्या, मी दुसरे नेटवर्क उभे केले, नेहमीचे WPA2-PSK, लपवलेले, फक्त तांत्रिक ऑपरेशन्ससाठी. किंवा आपण अद्याप सिस्टमसह बूट करण्यायोग्य USB फ्लॅश ड्राइव्ह आगाऊ बनवू शकता. परंतु जर खसखस ​​2015 नंतर असेल, तर तुम्हाला या फ्लॅश ड्राइव्हसाठी अॅडॉप्टर शोधण्याची आवश्यकता असेल)

स्त्रोत: www.habr.com