WiFi လုပ်ငန်း။ FreeRadius + FreeIPA + Ubiquiti

ကော်ပိုရိတ် WiFi ကို စည်းရုံးခြင်း၏ ဥပမာအချို့ကို ဖော်ပြပြီးဖြစ်သည်။ ဤတွင် ကျွန်ုပ်သည် ထိုသို့သောဖြေရှင်းချက်ကို မည်သို့အကောင်အထည်ဖော်ခဲ့ပုံနှင့် မတူညီသောစက်ပစ္စည်းများတွင် ချိတ်ဆက်ရာတွင် ကြုံတွေ့ခဲ့ရသည့်ပြဿနာများကို ဖော်ပြပါမည်။ ကျွန်ုပ်တို့သည် တည်ဆဲအသုံးပြုသူများနှင့်အတူ တည်ဆဲ LDAP ကို ​​အသုံးပြုပြီး FreeRadius ကို ထည့်သွင်းပြီး Ubnt ထိန်းချုပ်ကိရိယာတွင် WPA2-Enterprise ကို စီစဉ်သတ်မှတ်ပါမည်။ အရာအားလုံးရိုးရှင်းပုံရသည်။ ကြည့်ကျတာပေါ့…

EAP နည်းလမ်းများအကြောင်း အနည်းငယ်

လုပ်ငန်းမစမီ ကျွန်ုပ်တို့၏ဖြေရှင်းချက်တွင် မည်သည့်စစ်မှန်ကြောင်းအထောက်အထားပြနည်းကို အသုံးပြုမည်ကို ဆုံးဖြတ်ရန် လိုအပ်ပါသည်။

Wikipedia မှ

EAP သည် ကြိုးမဲ့ကွန်ရက်များနှင့် point-to-point ချိတ်ဆက်မှုများတွင် မကြာခဏအသုံးပြုလေ့ရှိသည့် အထောက်အထားစိစစ်ခြင်းဘောင်တစ်ခုဖြစ်သည်။ ဖော်မတ်ကို RFC 3748 တွင် ပထမဆုံးဖော်ပြခဲ့ပြီး RFC 5247 တွင် မွမ်းမံခဲ့သည်။
EAP ကို ​​အထောက်အထားစိစစ်ခြင်းနည်းလမ်းကို ရွေးချယ်ရန်၊ သော့များကို လွှဲပြောင်းရန်နှင့် ၎င်းသော့များကို EAP နည်းလမ်းများဟုခေါ်သော ပလပ်အင်များဖြင့် လုပ်ဆောင်ရန်အတွက် အသုံးပြုသည်။ EAP ကိုယ်တိုင် နှင့် သတ်မှတ်ထားသော EAP နည်းလမ်းများစွာ ရှိပြီး တစ်ဦးချင်း ရောင်းချသူများမှ ထုတ်ပေးသော နည်းလမ်းများ ရှိပါသည်။ EAP သည် လင့်ခ်အလွှာကို မသတ်မှတ်ထားဘဲ ၎င်းသည် မက်ဆေ့ချ်ဖော်မတ်ကိုသာ သတ်မှတ်သည်။ EAP ကိုအသုံးပြုသည့် ပရိုတိုကောတစ်ခုစီတွင် ၎င်း၏ကိုယ်ပိုင် EAP မက်ဆေ့ချ်စာဝှက်စနစ်ပါရှိသည်။

နည်းလမ်းများကိုယ်တိုင်:

• LEAP သည် CISCO မှ ဖန်တီးထားသော မူပိုင် ပရိုတိုကောတစ်ခုဖြစ်သည်။ အားနည်းချက်များ တွေ့ရှိခဲ့သည်။ လက်ရှိအသုံးပြုရန် အကြံပြုထားခြင်းမရှိပါ။
• EAP-TLS သည် ကြိုးမဲ့ရောင်းချသူများကြားတွင် ကောင်းမွန်စွာပံ့ပိုးပေးပါသည်။ ၎င်းသည် SSL စံနှုန်းများကို ဆက်ခံသောကြောင့် လုံခြုံသော ပရိုတိုကောတစ်ခုဖြစ်သည်။ Client ကို သတ်မှတ်ခြင်းသည် အတော်လေး ရှုပ်ထွေးပါသည်။ စကားဝှက်အပြင် ဖောက်သည်လက်မှတ်တစ်ခု လိုအပ်ပါသည်။ စနစ်များစွာတွင် ပံ့ပိုးထားသည်။
• EAP-TTLS - စနစ်များစွာတွင် ကျယ်ကျယ်ပြန့်ပြန့်ပံ့ပိုးထားပြီး၊ အထောက်အထားစိစစ်ခြင်းဆာဗာတွင်သာ PKI လက်မှတ်များကို အသုံးပြု၍ ကောင်းမွန်သောလုံခြုံရေးကိုပေးသည်
• EAP-MD5 သည် အခြားပွင့်လင်းသောစံနှုန်းတစ်ခုဖြစ်သည်။ အနည်းဆုံးလုံခြုံရေးပေးသည်။ အားနည်းချက်၊ အပြန်အလှန် စစ်မှန်ကြောင်းနှင့် သော့ထုတ်လုပ်ခြင်းကို မပံ့ပိုးပါ။
• EAP-IKEv2 - Internet Key Exchange Protocol ဗားရှင်း 2 ကို အခြေခံထားသည်။ ကလိုင်းယင့်နှင့် ဆာဗာကြား အပြန်အလှန် စစ်မှန်ကြောင်းနှင့် စက်ရှင်သော့တည်ဆောက်မှုကို ပံ့ပိုးပေးသည်
• PEAP သည် ပွင့်လင်းစံနှုန်းအဖြစ် CISCO၊ Microsoft နှင့် RSA Security တို့ကြား ပူးတွဲဖြေရှင်းချက်တစ်ခုဖြစ်သည်။ ထုတ်ကုန်များတွင် ကျယ်ကျယ်ပြန့်ပြန့်ရရှိနိုင်ပြီး အလွန်ကောင်းမွန်သော ဘေးကင်းမှုကို ပေးပါသည်။ EAP-TTLS နှင့် ဆင်တူသည်၊ ဆာဗာဘက်ရှိ လက်မှတ်တစ်ခုသာ လိုအပ်သည်။
• PEAPv0/EAP-MSCHAPv2 - EAP-TLS ပြီးနောက်၊ ၎င်းသည် ကမ္ဘာပေါ်တွင် ဒုတိယအသုံးများသောစံနှုန်းဖြစ်သည်။ Microsoft၊ Cisco၊ Apple၊ Linux တွင် client-server ဆက်ဆံရေးကို အသုံးပြုထားသည်။
• PEAPv1/EAP-GTC - PEAPv0/EAP-MSCHAPv2 အတွက် အစားထိုးအဖြစ် Cisco မှ ဖန်တီးထားသည်။ အထောက်အထားစိစစ်ခြင်းဒေတာကို မည်သည့်နည်းဖြင့်မျှ မကာကွယ်ပါ။ Windows OS တွင် မပံ့ပိုးပါ။
• EAP-FAST သည် LEAP ၏ ချို့ယွင်းချက်များကို ပြုပြင်ရန် Cisco မှ ဖန်တီးထားသော နည်းလမ်းတစ်ခုဖြစ်သည်။ Protected Access Credential (PAC) ကို အသုံးပြုသည်။ လုံးဝအကြမ်းထည်

ဤအမျိုးအနွယ်အားလုံးတွင်၊ ရွေးချယ်မှုသည်မကြီးမားသေးပါ။ အထောက်အထားစိစစ်ခြင်းနည်းလမ်း လိုအပ်သည်- လုံခြုံရေးကောင်းမွန်မှု၊ စက်ပစ္စည်းအားလုံးတွင် ပံ့ပိုးမှု (Windows 10၊ macOS၊ Linux၊ Android၊ iOS) နှင့် အမှန်တကယ်အားဖြင့် ရိုးရှင်းလေလေ ပိုကောင်းလေဖြစ်သည်။ ထို့ကြောင့်၊ ရွေးချယ်မှုမှာ PAP ပရိုတိုကောနှင့် တွဲလျက် EAP-TTLS တွင် ကျသွားသည်။
မေးစရာရှိလာနိုင်သည် - PAP ကို ​​ဘာကြောင့်သုံးတာလဲ။ ပြီးနောက်၊ ၎င်းသည် ရှင်းရှင်းလင်းလင်း စာသားဖြင့် စကားဝှက်များကို ထုတ်လွှင့်နေပါသလား။

ဟုတ်တယ် အဲဒါမှန်တယ်။ FreeRadius နှင့် FreeIPA အကြား ဆက်သွယ်ရေးသည် ဤကဲ့သို့ အတိအကျ ဖြစ်လိမ့်မည်။ အမှားရှာပြင်မုဒ်တွင်၊ အသုံးပြုသူအမည်နှင့် စကားဝှက်ပေးပို့ပုံကို သင်ခြေရာခံနိုင်သည်။ ဟုတ်ကဲ့၊ သူတို့ကိုလွှတ်လိုက်ပါ၊ သင်တစ်ဦးတည်းသာ FreeRadius ဆာဗာသို့ဝင်ရောက်ခွင့်ရှိသည်။

EAP-TTLS အလုပ်လုပ်ပုံအကြောင်း ပိုမိုဖတ်ရှုနိုင်ပါသည်။ ဒီမှာ

FreeRADIUS

FreeRadius ကို CentOS 7.6 သို့ အဆင့်မြှင့်ပါမည်။ ဤနေရာတွင် ဘာမှမရှုပ်ထွေးပါ၊ ကျွန်ုပ်တို့ ၎င်းကို ပုံမှန်အတိုင်း ထည့်သွင်းပါ။

yum install freeradius freeradius-utils freeradius-ldap -y

ပက်ကေ့ဂျ်များထဲမှ ဗားရှင်း 3.0.13 ကို ထည့်သွင်းထားသည်။ နာက်မှာ ယူလို့ရပါတယ်။ https://freeradius.org/

ယင်းနောက်၊ FreeRadius သည် အလုပ်လုပ်နေပြီဖြစ်သည်။ လိုင်းကို /etc/raddb/users တွင် မှတ်ချက်ပေးနိုင်ပါသည်။

steve   Cleartext-Password := "testing"

အမှားရှာပြင်မုဒ်တွင် ဆာဗာသို့ စတင်ပါ။

freeradius -X

localhost မှ စမ်းသပ်ချိတ်ဆက်မှု ပြုလုပ်ပါ။

radtest steve testing 127.0.0.1 1812 testing123

အဖြေတစ်ခုရရှိခဲ့သည်။ လက်ခံရရှိထားသော Access-Accept Id 115 ကို 127.0.0.1:1812 မှ 127.0.0.1:56081 အရှည် 20၊ အားလုံးအဆင်ပြေသည်ဟု ဆိုလိုသည်။ ဆက်လုပ်သည်။

module ကိုချိတ်ဆက်ခြင်း။ ldap.

ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

ပြီးတော့ ငါတို့ ချက်ချင်း ပြောင်းပေးမယ်။ FreeIPA ကိုဝင်ရောက်နိုင်စေရန် FreeRadius လိုအပ်ပါသည်။

mods-enabled/ldap

ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...

အချင်းဝက်ဆာဗာကို ပြန်လည်စတင်ပြီး LDAP အသုံးပြုသူများ၏ ထပ်တူပြုမှုကို စစ်ဆေးပါ-

radtest user_ldap password_ldap localhost 1812 testing123

တည်းဖြတ်ခြင်း mods-enabled/eap
ဤနေရာတွင် eap နှစ်ခုကို ထည့်ပါမည်။ လက်မှတ်များနှင့် သော့များတွင်သာ ကွဲပြားပါမည်။ ဘာကြောင့် ဒီလိုဖြစ်တာလဲဆိုတာ အောက်မှာ ရှင်းပြပါမယ်။

mods-enabled/eap

eap eap-client {                                                                                                                                                                                                                           default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_file = ${certdir}/fisrt.key
           certificate_file = ${certdir}/first.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}
eap eap-guest {
default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_passwotd=blablabla
           private_key_file = ${certdir}/server.key
           certificate_file = ${certdir}/server.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}

နောက်တစ်ခု ကျွန်တော်တို့ တည်းဖြတ်တယ်။ site-enabled/default. လုပ်ပိုင်ခွင့်နှင့် အထောက်အထားစိစစ်ခြင်းကဏ္ဍများကို ကျွန်ုပ်စိတ်ဝင်စားပါသည်။

site-enabled/default

authorize {
  filter_username
  preprocess
  if (&User-Name == "guest") {
   eap-guest {
       ok = return
   }
  }
  elsif (&User-Name == "client") {
    eap-client {
       ok = return 
    }
  }
  else {
    eap-guest {
       ok = return
    }
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  logintime
  pap
  }

authenticate {
  Auth-Type LDAP {
    ldap
  }
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  pap
}

ခွင့်ပြုချက်အပိုင်းတွင် ကျွန်ုပ်တို့မလိုအပ်သော module အားလုံးကို ဖယ်ရှားပါသည်။ ldap ပဲကျန်တော့တယ်။ အသုံးပြုသူအမည်ဖြင့် သုံးစွဲသူအတည်ပြုချက်ကို ထည့်ပါ။ အဲဒါကြောင့် အပေါ်က eap ရဲ့ ဥပမာနှစ်ခုကို ထည့်ထားပါတယ်။

EAP မျိုးစုံအမှန်မှာ အချို့သောစက်ပစ္စည်းများကို ချိတ်ဆက်သောအခါတွင် ကျွန်ုပ်တို့သည် စနစ်လက်မှတ်များကို အသုံးပြုပြီး ဒိုမိန်းကို သတ်မှတ်ပေးမည်ဖြစ်သည်။ ကျွန်ုပ်တို့တွင် ယုံကြည်စိတ်ချရသော လက်မှတ်အာဏာပိုင်ထံမှ လက်မှတ်နှင့် သော့တစ်ခုရှိသည်။ ပုဂ္ဂိုလ်ရေးအရ၊ ကျွန်ုပ်၏အမြင်အရ၊ ဤချိတ်ဆက်မှုလုပ်ငန်းစဉ်သည် စက်တစ်ခုစီတွင် ကိုယ်တိုင်လက်မှတ်ထိုးထားသော လက်မှတ်ကို လွှင့်ပစ်ခြင်းထက် ပိုမိုရိုးရှင်းပါသည်။ သို့သော် ကိုယ်တိုင်လက်မှတ်မထိုးရသေးသည့်တိုင် ထွက်ခွာရန် မဖြစ်နိုင်သေးပါ။ Samsung စက်များနှင့် Android =< ဗားရှင်း 6 တွင် စနစ်လက်မှတ်များကို မည်သို့အသုံးပြုရမည်ကို မသိပါ။ ထို့ကြောင့်၊ ကျွန်ုပ်တို့သည် ၎င်းတို့အတွက် eap-guest ၏ သီးခြားဥပမာတစ်ခုကို ကိုယ်တိုင်ရေးထိုးထားသော လက်မှတ်များဖြင့် ဖန်တီးပါသည်။ အခြားစက်ပစ္စည်းများအားလုံးအတွက် ကျွန်ုပ်တို့သည် ယုံကြည်စိတ်ချရသောလက်မှတ်ဖြင့် eap-client ကို အသုံးပြုပါမည်။ စက်ပစ္စည်းကို ချိတ်ဆက်သည့်အခါ အသုံးပြုသူအမည်ကို အမည်မသိအကွက်မှ ဆုံးဖြတ်သည်။ တန်ဖိုး 3 ခုကိုသာ ခွင့်ပြုသည်- ဧည့်သည်၊ Client နှင့် အကွက်အလွတ်တစ်ခု။ ကျန်တာအားလုံးကို လွှင့်ပစ်လိုက်တယ်။ ၎င်းကို မူဝါဒများတွင် ပြင်ဆင်သတ်မှတ်နိုင်သည်။ နောက်မှ ဥပမာတစ်ခုပြောပြမယ်။

လုပ်ပိုင်ခွင့် အပိုင်းများကို တည်းဖြတ်ပြီး စစ်မှန်ကြောင်း စစ်ဆေးကြပါစို့ site-enabled/inner-tunnel

site-enabled/inner-tunnel

authorize {
  filter_username
  filter_inner_identity
  update control {
   &Proxy-To-Realm := LOCAL
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  digest
  logintime
  pap
  }

authenticate {
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  Auth-Type PAP {
    pap
  }
  ldap
}

ထို့နောက်၊ အမည်မသိအကောင့်ဝင်ရန်အတွက် မည်သည့်အမည်များကို အသုံးပြုနိုင်သည့် မူဝါဒများတွင် သင်သတ်မှတ်ရန်လိုအပ်သည်။ တည်းဖြတ်ခြင်း။ policy.d/filter.

ဤကဲ့သို့သော လိုင်းများကို သင်ရှာရန် လိုအပ်သည်-

if (&outer.request:User-Name !~ /^(anon|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

နှင့် elsif တွင် လိုအပ်သောတန်ဖိုးများကို အောက်တွင်ထည့်ပါ။

elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

ယခု ကျွန်ုပ်တို့သည် လမ်းညွှန်သို့ ရွှေ့ရန် လိုအပ်သည်။ အောင်လက်မှတ်. ဤနေရာတွင် ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့ရှိပြီးသားဖြစ်သော ယုံကြည်စိတ်ချရသော အသိအမှတ်ပြုလက်မှတ်အာဏာပိုင်ထံမှသော့နှင့် လက်မှတ်ကို ထားရန်လိုအပ်ပြီး eap-guest အတွက် ကိုယ်တိုင်လက်မှတ်ထိုးထားသော လက်မှတ်များထုတ်ပေးရန် လိုအပ်ပါသည်။

ဖိုင်ရှိ ဘောင်များကို ပြောင်းလဲခြင်း။ ca.cnf.

ca.cnf

...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"

ကျွန်ုပ်တို့သည် ဖိုင်ထဲတွင် တူညီသောတန်ဖိုးများကို ရေးသည်။ server.cnf. ကျွန်ုပ်တို့သည် ပြောင်းလဲခြင်းသာဖြစ်သည်။
လူအသုံးအများဆုံးအမည်:

server.cnf

...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"

ကျွန်ုပ်တို့ ဖန်တီးသည်-

make

အဆင်သင့်။ ရရှိခဲ့သည်။ server.crt и server.key ကျွန်ုပ်တို့သည် eap-guest တွင် အထက်ဖော်ပြပါ စာရင်းသွင်းထားပြီးဖြစ်သည်။

နောက်ဆုံးအနေနဲ့၊ ဖိုင်ထဲကို ကျွန်တော်တို့ရဲ့ access point တွေကို ထည့်လိုက်ရအောင် client.conf. ကျွန်ုပ်တွင် ၎င်းတို့ 7 ခုရှိသည်။ အမှတ်တစ်ခုစီကို သီးခြားစီမထည့်ရန်အတွက် ၎င်းတို့တည်ရှိနေသည့်ကွန်ရက်ကိုသာ မှတ်ပုံတင်မည် (ကျွန်ုပ်၏ဝင်ရောက်ခွင့်အမှတ်များသည် သီးခြား VLAN တွင်ရှိသည်)။

client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}

Ubiquiti ထိန်းချုပ်ကိရိယာ

ကျွန်ုပ်တို့သည် ထိန်းချုပ်ကိရိယာပေါ်တွင် သီးခြားကွန်ရက်တစ်ခုကို မြှင့်တင်သည်။ 192.168.2.0/24 ဖြစ်ပါစေ။
ဆက်တင်များ -> ပရိုဖိုင်သို့သွားပါ။ အသစ်တစ်ခု ဖန်တီးကြပါစို့။

ကျွန်ုပ်တို့သည် အချင်းဝက်ဆာဗာ၏ လိပ်စာနှင့် ဆိပ်ကမ်းနှင့် ဖိုင်တွင်ရေးထားသည့် စကားဝှက်ကို ရေးမှတ်ထားသည်။ clients.conf:

ကြိုးမဲ့ကွန်ရက်အမည်အသစ်ကို ဖန်တီးပါ။ အထောက်အထားစိစစ်ခြင်းနည်းလမ်းအဖြစ် WPA-EAP (Enterprise) ကိုရွေးချယ်ပြီး ဖန်တီးထားသော အချင်းဝက်ပရိုဖိုင်ကို သတ်မှတ်ပါ-

ကျွန်ုပ်တို့သည် အရာအားလုံးကို သိမ်းဆည်းပြီး ၎င်းကို အသုံးချပြီး ရှေ့ဆက်ပါ။

ဖောက်သည်များကို သတ်မှတ်ခြင်း။

အခက်ခဲဆုံးအပိုင်းနဲ့ စလိုက်ရအောင်။

Windows ကို 10

Windows သည် domain တစ်ခုမှ ကော်ပိုရိတ် WiFi ကို မည်သို့ချိတ်ဆက်ရမည်ကို မသိသေးသည့်အချက်ကြောင့် အခက်အခဲဖြစ်သည်။ ထို့ကြောင့်၊ ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ လက်မှတ်ကို ယုံကြည်စိတ်ချရသော လက်မှတ်စတိုးသို့ ကိုယ်တိုင်တင်ရပါမည်။ ဤနေရာတွင် သင်သည် ကိုယ်တိုင်လက်မှတ်ထိုးထားသော တစ်ခု သို့မဟုတ် အသိအမှတ်ပြု အာဏာပိုင်တစ်ဦးထံမှ တစ်ခုကို အသုံးပြုနိုင်သည်။ ဒုတိယတစ်မျိုးကိုသုံးမယ်။

နောက်တစ်ခုက ချိတ်ဆက်မှုအသစ်တစ်ခု ဖန်တီးရမယ်။ ၎င်းကိုလုပ်ဆောင်ရန် ကွန်ရက်နှင့် အင်တာနက် ဆက်တင်များ -> ကွန်ရက်နှင့် မျှဝေရေးစင်တာသို့ သွားပါ -> ချိတ်ဆက်မှု သို့မဟုတ် ကွန်ရက်အသစ်တစ်ခုကို ဖန်တီးပြီး စီစဉ်သတ်မှတ်ပါ-

ကျွန်ုပ်တို့သည် ကွန်ရက်အမည်ကို ကိုယ်တိုင်ထည့်သွင်းပြီး လုံခြုံရေးအမျိုးအစားကို ပြောင်းလဲပါသည်။ ပြီးရင် on ကိုနှိပ်ပါ။ ချိတ်ဆက်မှု ဆက်တင်များကို ပြောင်းလဲပါ။ နှင့် လုံခြုံရေး တက်ဘ်တွင်၊ ကွန်ရက် အထောက်အထားစိစစ်ခြင်း - EAP-TTLS ကို ရွေးပါ။

ဆက်တင်များသို့သွားပါ၊ စစ်မှန်ကြောင်းသက်သေပြခြင်း၏လျှို့ဝှက်ချက်ကိုသတ်မှတ်ပါ - ဖောက်သည်. ယုံကြည်စိတ်ချရသော အသိအမှတ်ပြုလက်မှတ် အာဏာပိုင်တစ်ဦးအနေဖြင့်၊ ကျွန်ုပ်တို့ထည့်သွင်းထားသော လက်မှတ်ကို ရွေးပါ၊ “ဆာဗာကို ခွင့်ပြုချက်မရပါက အသုံးပြုသူအား ဖိတ်ကြားချက်တစ်ခု မထုတ်ပေးပါနှင့်” ဟူသော အကွက်ကို အမှန်ခြစ်ကာ အထောက်အထားစိစစ်ခြင်းနည်းလမ်း - plaintext စကားဝှက် (PAP) ကို ရွေးချယ်ပါ။

ထို့နောက်၊ နောက်ထပ် ကန့်သတ်ဘောင်များသို့ သွားကာ “အထောက်အထားစိစစ်ခြင်းမုဒ်ကို သတ်မှတ်ပါ။” အကွက်ကို အမှန်ခြစ်ပါ။ “User Authentication” ကို ရွေးပြီး ကလစ်နှိပ်ပါ။ အထောက်အထားများကို သိမ်းဆည်းပါ။. ဤနေရာတွင် သင်သည် username_ldap နှင့် password_ldap ကို ရိုက်ထည့်ရန် လိုအပ်မည်ဖြစ်သည်။

ကျွန်ုပ်တို့သည် သိမ်းဆည်း၊ အသုံးချ၊ အရာအားလုံးကို ပိတ်ပစ်လိုက်သည်။ ကွန်ရက်အသစ်သို့ ချိတ်ဆက်နိုင်သည်။

Linux ကို

Ubuntu 18.04၊ 18.10၊ Fedora 29၊ 30 တွင် ကျွန်တော် စမ်းသပ်ခဲ့သည်။

ပထမဦးစွာ၊ သင်ကိုယ်တိုင်အတွက်လက်မှတ်ကိုဒေါင်းလုဒ်လုပ်ပါ။ စနစ်လက်မှတ်များကို အသုံးပြုရန် သို့မဟုတ် ထိုသို့သောစတိုးဆိုင်ရှိမရှိကို Linux တွင် ကျွန်ုပ်မတွေ့ပါ။

ဒိုမိန်းမှတဆင့် ချိတ်ဆက်ပါမည်။ ထို့ကြောင့် ကျွန်ုပ်တို့၏ လက်မှတ်ကို ဝယ်ယူခဲ့သည့် အသိအမှတ်ပြု အာဏာပိုင်ထံမှ လက်မှတ်တစ်ခု လိုအပ်ပါသည်။

ချိတ်ဆက်မှုအားလုံးကို ဝင်းဒိုးတစ်ခုတည်းတွင် ပြုလုပ်ထားသည်။ ကျွန်ုပ်တို့၏ကွန်ရက်ကို ရွေးပါ-

အမည်မသိ - client
ဒိုမိန်း — လက်မှတ်ထုတ်ပေးသည့်ဒိုမိန်း

အန်းဒရွိုက်

Samsung မဟုတ်သော

ဗားရှင်း 7 မှ၊ WiFi ချိတ်ဆက်သည့်အခါတွင် ဒိုမိန်းကိုသာ သတ်မှတ်ခြင်းဖြင့် စနစ်လက်မှတ်များကို သင်အသုံးပြုနိုင်သည်-

ဒိုမိန်း — လက်မှတ်ထုတ်ပေးသည့်ဒိုမိန်း
အမည်မသိ - client

Samsung

အထက်တွင်ရေးခဲ့သည့်အတိုင်း၊ Samsung စက်ပစ္စည်းများသည် WiFi ချိတ်ဆက်ရာတွင် စနစ်လက်မှတ်များကို မည်သို့အသုံးပြုရမည်ကို မသိသည့်အပြင် ၎င်းတို့သည် ဒိုမိန်းမှတစ်ဆင့် ချိတ်ဆက်နိုင်စွမ်းမရှိပေ။ ထို့ကြောင့်၊ သင်သည် အသိအမှတ်ပြု အခွင့်အာဏာ၏ အမြစ်လက်မှတ်ကို ကိုယ်တိုင်ထည့်ရန် လိုအပ်သည် (ca.pem၊ ၎င်းကို Radius ဆာဗာမှ ယူပါ)။ ဤနေရာတွင် ကိုယ်တိုင်ရေးထိုးခြင်းကို အသုံးပြုပါမည်။

လက်မှတ်ကို သင့်စက်တွင် ဒေါင်းလုဒ်လုပ်ပြီး ထည့်သွင်းပါ။

လက်မှတ်ကို ထည့်သွင်းခြင်း။







ဤကိစ္စတွင်၊ မသတ်မှတ်ရသေးပါက၊ သင်သည် မျက်နှာပြင်သော့ဖွင့်ခြင်းပုံစံ၊ PIN ကုဒ် သို့မဟုတ် စကားဝှက်ကို သတ်မှတ်ရန် လိုအပ်လိမ့်မည်-

အသိအမှတ်ပြုလက်မှတ်ကို ထည့်သွင်းရန်အတွက် ရှုပ်ထွေးသောရွေးချယ်မှုကို ပြသခဲ့သည်။ စက်အများစုတွင်၊ ဒေါင်းလုဒ်လုပ်ထားသောလက်မှတ်ကို နှိပ်ပါ။

လက်မှတ်ကို ထည့်သွင်းသောအခါ၊ သင်သည် ချိတ်ဆက်မှုသို့ ဆက်သွားနိုင်သည်။

လက်မှတ် - သင်ထည့်သွင်းထားသည့်တစ်ခုကိုညွှန်ပြပါ။
အမည်မသိအသုံးပြုသူ - ဧည့်သည်

MacOS

Apple စက်ပစ္စည်းများသည် EAP-TLS ကို ဘောက်စ်ပြင်ပတွင်သာ ချိတ်ဆက်နိုင်သော်လည်း ၎င်းတို့ကို လက်မှတ်တစ်ခု ပေးဆောင်ရန် လိုအပ်နေသေးသည်။ မတူညီသောချိတ်ဆက်မှုနည်းလမ်းကိုသတ်မှတ်ရန်၊ Apple Configurator 2 ကိုအသုံးပြုရန်လိုအပ်သည်။ ထို့ကြောင့်၎င်းကိုသင်၏ Mac တွင်ပထမဆုံးဒေါင်းလုဒ်လုပ်ရန်၊ ပရိုဖိုင်အသစ်တစ်ခုဖန်တီးပြီး လိုအပ်သော WiFi ဆက်တင်များအားလုံးကိုထည့်ရန်လိုအပ်သည်။

Apple Configuration



ဤနေရာတွင် ကျွန်ုပ်တို့၏ကွန်ရက်အမည်ကို ဖော်ပြပါ။
လုံခြုံရေးအမျိုးအစား - WPA2 လုပ်ငန်း
လက်ခံထားသော EAP အမျိုးအစားများ - TTLS
အသုံးပြုသူအမည်နှင့် စကားဝှက် - ဗလာထားပါ။
အတွင်းပိုင်းအထောက်အထားပြခြင်း - PAP
Outer Identity - client

ယုံကြည်မှု တက်ဘ် ဤတွင် ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ဒိုမိန်းကို ညွှန်ပြပါသည်။

အားလုံး။ ပရိုဖိုင်ကို သိမ်းဆည်းခြင်း၊ လက်မှတ်ထိုးပြီး စက်များသို့ ဖြန့်ဝေနိုင်ပါသည်။

ပရိုဖိုင်အဆင်သင့်ဖြစ်ပြီးနောက်၊ သင်သည် ၎င်းကို သင်၏ Mac တွင် ဒေါင်းလုဒ်လုပ်ပြီး ထည့်သွင်းရန် လိုအပ်သည်။ တပ်ဆင်ခြင်းလုပ်ငန်းစဉ်အတွင်း၊ သင်သည် သုံးစွဲသူ၏ usernmae_ldap နှင့် password_ldap ကို သတ်မှတ်ရန် လိုအပ်လိမ့်မည်-

iOS ကို

လုပ်ငန်းစဉ်သည် macOS နှင့်ဆင်တူသည်။ ပရိုဖိုင်ကို အသုံးပြုရန် လိုအပ်သည် (macOS အတွက် တူညီသော တစ်ခုကို အသုံးပြုနိုင်သည်။ Apple Configurator တွင် ပရိုဖိုင်ကို ဖန်တီးနည်းအတွက် အထက်တွင် ကြည့်ပါ)။

ပရိုဖိုင်ကိုဒေါင်းလုဒ်လုပ်ပါ၊ ထည့်သွင်းပါ၊ အထောက်အထားများထည့်ပါ၊ ချိတ်ဆက်ပါ-

ဒါပါပဲ။ ကျွန်ုပ်တို့သည် Radius ဆာဗာကို တည်ဆောက်ပြီး ၎င်းကို FreeIPA နှင့် ထပ်တူပြုပြီး WPA2-EAP ကို ​​အသုံးပြုရန် Ubiquiti ဝင်ခွင့်အမှတ်များကို ပြောခဲ့သည်။

ဖြစ်နိုင်သောမေးခွန်းများ

IN: ပရိုဖိုင်/လက်မှတ်ကို ဝန်ထမ်းတစ်ဦးထံ မည်သို့လွှဲပြောင်းရမည်နည်း။

အကြောင်း: ကျွန်ုပ်သည် ဝဘ်မှတဆင့်ဝင်ရောက်ခွင့်ဖြင့် FTP တွင် လက်မှတ်များ/ပရိုဖိုင်အားလုံးကို သိမ်းဆည်းထားသည်။ FTP မှလွဲ၍ ကျွန်ုပ်သည် ဧည့်သည်ကွန်ရက်ကို မြန်နှုန်းကန့်သတ်ချက်ဖြင့် အင်တာနက်သို့သာ ဝင်ရောက်အသုံးပြုနိုင်ပါသည်။
စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းသည် 2 ရက်ကြာပြီးနောက် ၎င်းကို ပြန်လည်သတ်မှတ်ပြီး ကလိုင်းယင့်သည် အင်တာနက်မရှိဘဲ ကျန်ခဲ့သည်။ အဲဒါ။ ဝန်ထမ်းတစ်ဦးသည် WiFi သို့ ချိတ်ဆက်လိုသောအခါတွင် သူသည် ဧည့်သည်ကွန်ရက်သို့ ဦးစွာချိတ်ဆက်ပြီး FTP သို့ အကောင့်ဝင်ကာ၊ သူလိုအပ်သော လက်မှတ် သို့မဟုတ် ပရိုဖိုင်ကို ဒေါင်းလုဒ်လုပ်ကာ ၎င်းတို့ကို ထည့်သွင်းပြီးနောက် ကော်ပိုရိတ်ကွန်ရက်သို့ ချိတ်ဆက်နိုင်သည်။

IN: အဘယ်ကြောင့် MSCHAPv2 ဖြင့် အစီအစဥ်ကို အသုံးမပြုရသနည်း။ ပိုလုံခြုံတယ်။

အကြောင်း: ပထမဦးစွာ၊ ဤအစီအစဥ်သည် NPS (Windows Network Policy System) တွင် ကောင်းစွာအလုပ်လုပ်ဆောင်ရာတွင် ကျွန်ုပ်တို့၏အကောင်အထည်ဖော်မှုတွင် LDAP (FreeIpa) ကို ထပ်မံထည့်သွင်းပြီး ဆာဗာပေါ်တွင် စကားဝှက်ဟက်ခ်များကို သိမ်းဆည်းရန် လိုအပ်ပါသည်။ ထည့်ပါ။ အဘယ်ကြောင့်ဆိုသော် ဆက်တင်များကို ပြုလုပ်ရန် မသင့်တော်ပါ။ ၎င်းသည် အာထရာဆောင်းစနစ်၏ ထပ်တူပြုမှုနှင့်အတူ ပြဿနာအမျိုးမျိုးကို ဖြစ်ပေါ်စေနိုင်သည်။ ဒုတိယအနေဖြင့်၊ hash သည် MD4 ဖြစ်သည်၊ ထို့ကြောင့်၎င်းသည်လုံခြုံရေးအများကြီးမထည့်ပါ။

IN: Mac လိပ်စာများကို အသုံးပြု၍ စက်ပစ္စည်းများကို ခွင့်ပြုရန် ဖြစ်နိုင်ပါသလား။

အကြောင်း: မဟုတ်ပါ၊ ၎င်းသည် မလုံခြုံပါ၊ တိုက်ခိုက်သူသည် MAC လိပ်စာများကို အတုအယောင်ပြုလုပ်နိုင်ပြီး ထို့ထက်ပို၍ပင် MAC လိပ်စာများမှ ခွင့်ပြုချက်အား စက်အများအပြားတွင် ပံ့ပိုးမထားပါ။

IN: အဘယ်ကြောင့် ဤလက်မှတ်များအားလုံးကို လုံးလုံးသုံးသနည်း။ ၎င်းတို့မပါဘဲ သင်ချိတ်ဆက်နိုင်သည်။

အကြောင်း: ဆာဗာကို ခွင့်ပြုရန် လက်မှတ်များကို အသုံးပြုသည်။ အဲဒါတွေ။ ချိတ်ဆက်သည့်အခါ၊ စက်ပစ္စည်းသည် ယုံကြည်နိုင်သည် သို့မဟုတ် မယုံကြည်နိုင်သော ဆာဗာဖြစ်မဖြစ် စစ်ဆေးသည်။ သို့ဆိုလျှင် စစ်မှန်ကြောင်းအထောက်အထားပြခြင်း ဆက်လုပ်မည်၊ မဟုတ်ပါက ချိတ်ဆက်မှုကို ပိတ်သွားမည်ဖြစ်သည်။ လက်မှတ်များမပါဘဲ သင်ချိတ်ဆက်နိုင်သော်လည်း တိုက်ခိုက်သူ သို့မဟုတ် အိမ်နီးချင်းတစ်ဦးသည် ကျွန်ုပ်တို့၏အိမ်တွင် အချင်းဝက်ဆာဗာတစ်ခုနှင့် ကျွန်ုပ်တို့၏အမည်တူ အသုံးပြုခွင့်အမှတ်ကို တပ်ဆင်ပါက အသုံးပြုသူ၏အထောက်အထားများကို အလွယ်တကူကြားဖြတ်နိုင်သည် (၎င်းတို့ကို ရှင်းလင်းသောစာသားဖြင့် ပေးပို့ထားကြောင်း မမေ့ပါနှင့်) . လက်မှတ်တစ်ခုကို အသုံးပြုသောအခါတွင် ရန်သူသည် ကျွန်ုပ်တို့၏ စိတ်ကူးယဉ်သော အသုံးပြုသူအမည် - ဧည့်သည် သို့မဟုတ် သုံးစွဲသူနှင့် အမျိုးအစား အမှားတစ်ခုသာ - အမည်မသိ CA လက်မှတ်ကို ရန်သူက မြင်ရပါမည်။

macOS နှင့်ပတ်သက်သောအနည်းငယ်ပိုပုံမှန်အားဖြင့် macOS တွင် စနစ်ကို ပြန်လည်ထည့်သွင်းခြင်းသည် အင်တာနက်မှတစ်ဆင့် လုပ်ဆောင်သည်။ ပြန်လည်ရယူခြင်းမုဒ်တွင်၊ Mac သည် WiFi သို့ ချိတ်ဆက်ထားရမည်ဖြစ်ပြီး ကျွန်ုပ်တို့၏ကော်ပိုရိတ် WiFi သို့မဟုတ် ဧည့်သည်ကွန်ရက်သည် ဤနေရာတွင် အလုပ်မလုပ်ပါ။ ကိုယ်တိုင်ကိုယ်ကျ၊ နည်းပညာပိုင်းဆိုင်ရာလုပ်ဆောင်မှုများအတွက်သာ ဝှက်ထားသော ပုံမှန် WPA2-PSK သည် အခြားကွန်ရက်တစ်ခုကို ထည့်သွင်းခဲ့သည်။ သို့မဟုတ် စနစ်ဖြင့် bootable USB flash drive ကိုလည်း ပြုလုပ်နိုင်သည်။ အကယ်၍ သင့် Mac သည် 2015 နောက်ပိုင်းတွင်၊ သင်သည် ဤ flash drive အတွက် adapter တစ်ခုကိုလည်း ရှာဖွေရန် လိုအပ်လိမ့်မည်)

source: www.habr.com