वाईफाई इन्टरप्राइज। FreeRadius + FreeIPA + Ubiquiti

कर्पोरेट वाइफाइ व्यवस्थित गर्ने केही उदाहरणहरू पहिले नै वर्णन गरिएको छ। यहाँ म वर्णन गर्नेछु कि मैले कसरी समान समाधान कार्यान्वयन गरें र विभिन्न उपकरणहरूमा जडान गर्दा मैले सामना गर्नुपर्ने समस्याहरू। हामी दर्ता भएका प्रयोगकर्ताहरूसँग अवस्थित LDAP प्रयोग गर्नेछौं, FreeRadius बढाउनेछौं र Ubnt नियन्त्रकमा WPA2-Enterprise कन्फिगर गर्नेछौं। सबै कुरा सरल देखिन्छ। हेरौं…

EAP विधिहरूको बारेमा थोरै

कार्यको साथ अगाडि बढ्नु अघि, हामीले हाम्रो समाधानमा कुन प्रमाणीकरण विधि प्रयोग गर्ने भनेर निर्णय गर्न आवश्यक छ।

विकिपिडियाबाट:

EAP एक प्रमाणीकरण ढाँचा हो जुन प्राय: ताररहित सञ्जालहरू र पोइन्ट-टु-पोइन्ट जडानहरूमा प्रयोग गरिन्छ। ढाँचा पहिलो पटक RFC 3748 मा वर्णन गरिएको थियो र RFC 5247 मा अद्यावधिक गरिएको थियो।
EAP प्रमाणीकरण विधि चयन गर्न, कुञ्जीहरू पास गर्न, र ती कुञ्जीहरूलाई EAP विधिहरू भनिने प्लग-इनहरू प्रशोधन गर्न प्रयोग गरिन्छ। त्यहाँ धेरै EAP विधिहरू छन्, दुबै EAP सँग परिभाषित र व्यक्तिगत विक्रेताहरू द्वारा जारी गरिएको। EAP ले लिङ्क तह परिभाषित गर्दैन, यसले सन्देश ढाँचालाई मात्र परिभाषित गर्दछ। EAP प्रयोग गर्ने प्रत्येक प्रोटोकलको आफ्नै EAP सन्देश encapsulation प्रोटोकल हुन्छ।

विधिहरू आफैं:

• LEAP CISCO द्वारा विकसित एक स्वामित्व प्रोटोकल हो। कमजोरीहरू फेला पर्यो। यो हाल प्रयोग गर्न सिफारिस गरिएको छैन
• EAP-TLS वायरलेस विक्रेताहरू बीच राम्रोसँग समर्थित छ। यो एक सुरक्षित प्रोटोकल हो किनभने यो SSL मापदण्डहरूको उत्तराधिकारी हो। ग्राहक सेटअप धेरै जटिल छ। तपाईंलाई पासवर्डको अतिरिक्त ग्राहक प्रमाणपत्र चाहिन्छ। धेरै प्रणालीहरूमा समर्थित
• EAP-TTLS - धेरै प्रणालीहरूमा व्यापक रूपमा समर्थित, प्रमाणीकरण सर्भरमा मात्र PKI प्रमाणपत्रहरू प्रयोग गरेर राम्रो सुरक्षा प्रदान गर्दछ।
• EAP-MD5 अर्को खुला मानक हो। न्यूनतम सुरक्षा प्रदान गर्दछ। कमजोर, पारस्परिक प्रमाणीकरण र कुञ्जी उत्पादन समर्थन गर्दैन
• EAP-IKEv2 - इन्टरनेट कुञ्जी एक्सचेन्ज प्रोटोकल संस्करण 2 मा आधारित। ग्राहक र सर्भर बीच आपसी प्रमाणीकरण र सत्र कुञ्जी स्थापना प्रदान गर्दछ।
• PEAP खुला मानकको रूपमा CISCO, Microsoft र RSA सुरक्षाको संयुक्त समाधान हो। उत्पादनहरूमा व्यापक रूपमा उपलब्ध छ, धेरै राम्रो सुरक्षा प्रदान गर्दछ। EAP-TTLS जस्तै, सर्भर साइडमा मात्र प्रमाणपत्र चाहिन्छ
• PEAPv0/EAP-MSCHAPv2 - EAP-TLS पछि, यो विश्वमा व्यापक रूपमा प्रयोग हुने दोस्रो मानक हो। Microsoft, Cisco, Apple, Linux मा प्रयोग गरिएको क्लाइन्ट-सर्भर सम्बन्ध
• PEAPv1/EAP-GTC - PEAPv0/EAP-MSCHAPv2 को विकल्पको रूपमा सिस्कोद्वारा सिर्जना गरिएको। कुनै पनि हिसाबले प्रमाणीकरण डाटा सुरक्षित गर्दैन। Windows OS मा समर्थित छैन
• EAP-FAST सिस्को द्वारा LEAP को कमिहरु लाई सुधार गर्न को लागी विकसित एक प्रविधि हो। Protected Access Credential (PAC) प्रयोग गर्दछ। पूर्ण रूपमा अधूरा

यो सबै विविधता को, छनोट अझै राम्रो छैन। प्रमाणीकरण विधि आवश्यक थियो: राम्रो सुरक्षा, सबै उपकरणहरूमा समर्थन (Windows 10, macOS, Linux, Android, iOS) र, वास्तवमा, सरल रूपमा राम्रो। त्यसकारण, PAP प्रोटोकलको संयोजनमा EAP-TTLS मा छनोट भयो।
प्रश्न उठ्न सक्छ - किन PAP प्रयोग गर्ने? किनभने उसले स्पष्टमा पासवर्डहरू पठाउँछ?

हो त्यो सहि हो। FreeRadius र FreeIPA बीचको सञ्चार यस तरिकाले हुनेछ। डिबग मोडमा, तपाइँ कसरी प्रयोगकर्ता नाम र पासवर्ड पठाइन्छ ट्र्याक गर्न सक्नुहुन्छ। हो, र तिनीहरूलाई जान दिनुहोस्, तपाईंसँग मात्र FreeRadius सर्भरमा पहुँच छ।

तपाईले EAP-TTLS को कामको बारेमा थप पढ्न सक्नुहुन्छ यहाँ

FreeRADIUS

FreeRadius CentOS 7.6 मा उठाइनेछ। यहाँ केहि जटिल छैन, हामी यसलाई सामान्य तरिकामा सेट गर्छौं।

yum install freeradius freeradius-utils freeradius-ldap -y

संस्करण 3.0.13 प्याकेजहरूबाट स्थापना गरिएको छ। पछिल्लो लिन सकिन्छ https://freeradius.org/

त्यस पछि, FreeRadius पहिले नै काम गरिरहेको छ। तपाईले लाइनलाई /etc/raddb/users मा अनकमेन्ट गर्न सक्नुहुन्छ

steve   Cleartext-Password := "testing"

डिबग मोडमा सर्भरमा लन्च गर्नुहोस्

freeradius -X

र लोकलहोस्टबाट परीक्षण जडान बनाउनुहोस्

radtest steve testing 127.0.0.1 1812 testing123

जवाफ मिल्यो 115:127.0.0.1 देखि 1812:127.0.0.1 लम्बाइ 56081 बाट प्राप्त पहुँच-स्वीकार आईडी 20, यसको मतलब सबै ठीक छ। अघि बढ।

हामी मोड्युल जडान गर्छौं ldap.

ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

र हामी यसलाई तुरुन्तै परिवर्तन गर्नेछौं। हामीलाई FreeIPA पहुँच गर्न सक्षम हुन FreeRadius चाहिन्छ

मोड-सक्षम/ldap

ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...

त्रिज्या सर्भर पुन: सुरु गर्नुहोस् र LDAP प्रयोगकर्ताहरूको सिङ्क्रोनाइजेसन जाँच गर्नुहोस्:

radtest user_ldap password_ldap localhost 1812 testing123

eap मा सम्पादन गर्दै मोड-सक्षम/eap
यहाँ हामी eap को दुई उदाहरणहरू थप्छौं। तिनीहरू केवल प्रमाणपत्र र कुञ्जीहरूमा भिन्न हुनेछन्। तल म व्याख्या गर्नेछु किन यो यस्तो छ।

मोड-सक्षम/eap

eap eap-client {                                                                                                                                                                                                                           default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_file = ${certdir}/fisrt.key
           certificate_file = ${certdir}/first.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}
eap eap-guest {
default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_passwotd=blablabla
           private_key_file = ${certdir}/server.key
           certificate_file = ${certdir}/server.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}

थप सम्पादन साइट-सक्षम/पूर्वनिर्धारित। अधिकृत र प्रमाणीकरण खण्डहरू चासोका छन्।

साइट-सक्षम/पूर्वनिर्धारित

authorize {
  filter_username
  preprocess
  if (&User-Name == "guest") {
   eap-guest {
       ok = return
   }
  }
  elsif (&User-Name == "client") {
    eap-client {
       ok = return 
    }
  }
  else {
    eap-guest {
       ok = return
    }
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  logintime
  pap
  }

authenticate {
  Auth-Type LDAP {
    ldap
  }
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  pap
}

प्राधिकरण खण्डमा, हामी सबै मोड्युलहरू हटाउँछौं जुन हामीलाई आवश्यक छैन। हामी ldap मात्र छोड्छौं। प्रयोगकर्ता नाम द्वारा ग्राहक प्रमाणिकरण थप्नुहोस्। यसैले हामीले माथि eap को दुई उदाहरणहरू थपेका छौं।

बहु EAPतथ्य यो हो कि केहि यन्त्रहरू जडान गर्दा, हामी प्रणाली प्रमाणपत्रहरू प्रयोग गर्नेछौं र डोमेन निर्दिष्ट गर्नेछौं। हामीसँग एक विश्वसनीय प्रमाणपत्र प्राधिकरणबाट प्रमाणपत्र र कुञ्जी छ। व्यक्तिगत रूपमा, मेरो विचारमा, यस्तो जडान प्रक्रिया प्रत्येक उपकरणमा स्व-हस्ताक्षरित प्रमाणपत्र फ्याँक्नु भन्दा सजिलो छ। तर स्व-हस्ताक्षर प्रमाणपत्रहरू बिना पनि, यो अझै काम गर्न सकेन। Samsung उपकरणहरू र एन्ड्रोइड =< 6 संस्करणहरूले प्रणाली प्रमाणपत्रहरू प्रयोग गर्न सक्दैनन्। त्यसकारण, हामी उनीहरूका लागि स्व-हस्ताक्षरित प्रमाणपत्रहरूको साथ eap-गेस्टको छुट्टै उदाहरण सिर्जना गर्छौं। अन्य सबै यन्त्रहरूको लागि, हामी विश्वसनीय प्रमाणपत्रको साथ eap-client प्रयोग गर्नेछौं। प्रयोगकर्ता-नाम अज्ञात क्षेत्र द्वारा निर्धारण गरिन्छ जब उपकरण जडान हुन्छ। केवल 3 मानहरूलाई अनुमति छ: अतिथि, ग्राहक र खाली क्षेत्र। अरू सबै खारेज गरिन्छ। यो राजनीतिज्ञहरूमा कन्फिगर हुनेछ। म केही पछि उदाहरण दिनेछु।

मा अधिकृत र प्रमाणीकरण खण्डहरू सम्पादन गरौं साइट-सक्षम/इनर-टनेल

साइट-सक्षम/इनर-टनेल

authorize {
  filter_username
  filter_inner_identity
  update control {
   &Proxy-To-Realm := LOCAL
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  digest
  logintime
  pap
  }

authenticate {
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  Auth-Type PAP {
    pap
  }
  ldap
}

अर्को, तपाईंले गुमनाम लगइनका लागि कुन नामहरू प्रयोग गर्न सकिन्छ भन्ने नीतिहरूमा निर्दिष्ट गर्न आवश्यक छ। सम्पादन गर्दै policy.d/filter.

तपाईंले यससँग मिल्दोजुल्दो लाइनहरू फेला पार्न आवश्यक छ:

if (&outer.request:User-Name !~ /^(anon|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

र तल elsif मा इच्छित मानहरू थप्नुहोस्:

elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

अब हामी डाइरेक्टरीमा सार्न आवश्यक छ प्रमाणपत्रहरू। यहाँ तपाईंले साँचो र विश्वसनीय प्रमाणपत्र प्राधिकरणबाट प्रमाणपत्र राख्नु पर्छ, जुन हामीसँग पहिले नै छ र eap-गेस्टको लागि स्व-हस्ताक्षरित प्रमाणपत्रहरू उत्पन्न गर्न आवश्यक छ।

फाइलमा प्यारामिटरहरू परिवर्तन गर्नुहोस् ca.cnf.

ca.cnf

...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"

हामी फाइलमा समान मानहरू लेख्छौं server.cnf। हामी मात्र परिवर्तन गर्छौं
साधारण नाम:

server.cnf

...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"

सिर्जना गर्नुहोस्:

make

तयार। प्राप्त भयो server.crt и server.key हामीले eap-guest मा माथि दर्ता गरिसकेका छौं।

र अन्तमा, फाईलमा हाम्रो पहुँच बिन्दुहरू थपौं ग्राहक.conf। मसँग ती मध्ये 7 छन्। प्रत्येक बिन्दुलाई अलग-अलग नथपाउनको लागि, हामी तिनीहरू अवस्थित नेटवर्क मात्र लेख्नेछौं (मेरो पहुँच बिन्दुहरू छुट्टै VLAN मा छन्)।

client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}

Ubiquiti नियन्त्रक

हामी नियन्त्रकमा छुट्टै नेटवर्क खडा गर्छौं। यसलाई 192.168.2.0/24 हुन दिनुहोस्
सेटिंग्स -> प्रोफाइल मा जानुहोस्। हामी एउटा नयाँ सिर्जना गर्छौं:

हामी त्रिज्या सर्भरको ठेगाना र पोर्ट र फाइलमा लेखिएको पासवर्ड लेख्छौं clients.conf:

नयाँ वायरलेस नेटवर्क नाम सिर्जना गर्नुहोस्। प्रमाणीकरण विधिको रूपमा WPA-EAP (Enterprise) चयन गर्नुहोस् र सिर्जना गरिएको त्रिज्या प्रोफाइल निर्दिष्ट गर्नुहोस्:

हामी सबै बचत गर्छौं, आवेदन दिन्छौं र अगाडि बढ्छौं।

ग्राहकहरु सेट अप गर्दै

सबैभन्दा गाह्रो संग सुरु गरौं!

विन्डोज 10

विन्डोजले डोमेन मार्फत कर्पोरेट वाइफाइमा कसरी जडान गर्ने भनेर अझै थाहा छैन भन्ने तथ्यमा कठिनाई आउँछ। त्यसकारण, हामीले म्यानुअल रूपमा हाम्रो प्रमाणपत्र विश्वसनीय प्रमाणपत्र स्टोरमा अपलोड गर्नुपर्छ। यहाँ तपाइँ दुबै स्व-हस्ताक्षरित र प्रमाणीकरण प्राधिकरणबाट प्रयोग गर्न सक्नुहुन्छ। म दोस्रो प्रयोग गर्नेछु।

अर्को, तपाईंले नयाँ जडान सिर्जना गर्न आवश्यक छ। यो गर्नको लागि, नेटवर्क र इन्टरनेट सेटिङहरूमा जानुहोस् -> नेटवर्क र साझेदारी केन्द्र -> नयाँ जडान वा नेटवर्क सिर्जना र कन्फिगर गर्नुहोस्:

म्यानुअल रूपमा नेटवर्क नाम प्रविष्ट गर्नुहोस् र सुरक्षा प्रकार परिवर्तन गर्नुहोस्। हामीले क्लिक गरेपछि जडान सेटिङहरू परिवर्तन गर्नुहोस् र सुरक्षा ट्याबमा, नेटवर्क प्रमाणीकरण चयन गर्नुहोस् - EAP-TTLS।

हामी प्यारामिटरहरूमा जान्छौं, प्रमाणीकरणको गोप्यता लेख्छौं - ग्राहक। एक विश्वसनीय प्रमाणीकरण प्राधिकरणको रूपमा, हामीले थपेको प्रमाणपत्र चयन गर्नुहोस्, "यदि सर्भर अधिकृत हुन सक्दैन भने प्रयोगकर्तालाई निमन्त्रणा जारी नगर्नुहोस्" बाकस जाँच गर्नुहोस् र प्रमाणीकरण विधि चयन गर्नुहोस् - एन्क्रिप्टेड पासवर्ड (PAP)।

अर्को, उन्नत सेटिङहरूमा जानुहोस्, "प्रमाणीकरण मोड निर्दिष्ट गर्नुहोस्" मा टिक राख्नुहोस्। "प्रयोगकर्ता प्रमाणीकरण" चयन गर्नुहोस् र क्लिक गर्नुहोस् प्रमाणहरू बचत गर्नुहोस्। यहाँ तपाईंले username_ldap र password_ldap प्रविष्ट गर्न आवश्यक छ

हामी सबै बचत, लागू, बन्द। तपाईं नयाँ नेटवर्कमा जडान गर्न सक्नुहुन्छ।

लिनक्स

मैले Ubuntu 18.04, 18.10, Fedora 29, 30 मा परीक्षण गरें।

पहिले, हाम्रो प्रमाणपत्र डाउनलोड गरौं। मैले लिनक्समा फेला पारेन कि यो प्रणाली प्रमाणपत्रहरू प्रयोग गर्न सम्भव छ र त्यहाँ त्यस्तो स्टोर छ कि छैन।

डोमेनमा जडान गरौं। त्यसकारण, हामीलाई प्रमाणीकरण प्राधिकरणबाट प्रमाणपत्र चाहिन्छ जसबाट हाम्रो प्रमाणपत्र खरिद गरिएको थियो।

सबै जडानहरू एउटै विन्डोमा बनाइएका छन्। हाम्रो नेटवर्क चयन गर्दै:

बेनामी ग्राहक
डोमेन - डोमेन जसको लागि प्रमाणपत्र जारी गरिएको छ

Android

गैर सैमसंग

संस्करण 7 बाट, वाइफाइ जडान गर्दा, तपाइँ केवल डोमेन निर्दिष्ट गरेर प्रणाली प्रमाणपत्रहरू प्रयोग गर्न सक्नुहुन्छ:

डोमेन - डोमेन जसको लागि प्रमाणपत्र जारी गरिएको छ
बेनामी ग्राहक

Samsung

मैले माथि लेखेझैं, Samsung यन्त्रहरूलाई WiFi मा जडान गर्दा प्रणाली प्रमाणपत्रहरू कसरी प्रयोग गर्ने भनेर थाहा छैन, र तिनीहरूसँग डोमेन मार्फत जडान गर्ने क्षमता छैन। त्यसकारण, तपाईंले प्रमाणीकरण प्राधिकरणको मूल प्रमाणपत्र म्यानुअल रूपमा थप्नु पर्छ (ca.pem, हामी यसलाई रेडियस सर्भरमा लिन्छौं)। यहाँ छ जहाँ स्व-हस्ताक्षर प्रयोग गरिनेछ।

आफ्नो यन्त्रमा प्रमाणपत्र डाउनलोड गर्नुहोस् र यसलाई स्थापना गर्नुहोस्।

प्रमाणपत्र स्थापना







एकै समयमा, तपाईंले स्क्रिन अनलक ढाँचा, पिन कोड वा पासवर्ड सेट गर्न आवश्यक छ, यदि यो पहिले नै सेट गरिएको छैन:

मैले प्रमाणपत्र स्थापना गर्ने जटिल संस्करण देखाएँ। धेरैजसो यन्त्रहरूमा, डाउनलोड गरिएको प्रमाणपत्रमा क्लिक गर्नुहोस्।

प्रमाणपत्र स्थापना भएपछि, तपाइँ जडानमा अगाडि बढ्न सक्नुहुन्छ:

प्रमाणपत्र - स्थापना भएको एक संकेत गर्नुहोस्
बेनामी प्रयोगकर्ता - अतिथि

MacOS

बाकस बाहिर एप्पल उपकरणहरू मात्र EAP-TLS जडान गर्न सक्छन्, तर तपाईंले अझै पनि तिनीहरूमा प्रमाणपत्र फेंक गर्न आवश्यक छ। एक फरक जडान विधि निर्दिष्ट गर्न, तपाईंले Apple Configurator 2 प्रयोग गर्न आवश्यक छ। तदनुसार, तपाईंले पहिले यसलाई आफ्नो Mac मा डाउनलोड गर्नुपर्छ, नयाँ प्रोफाइल सिर्जना गर्नुहोस् र सबै आवश्यक WiFi सेटिङहरू थप्नुहोस्।

एप्पल कन्फिगरेटर



यहाँ आफ्नो नेटवर्क नाम प्रविष्ट गर्नुहोस्
सुरक्षा प्रकार - WPA2 उद्यम
स्वीकृत EAP प्रकारहरू - TTLS
प्रयोगकर्ता नाम र पासवर्ड - खाली छोड्नुहोस्
भित्री प्रमाणीकरण - PAP
बाह्य पहिचान-ग्राहक

ट्रस्ट ट्याब। यहाँ हामी हाम्रो डोमेन निर्दिष्ट गर्छौं

सबै। प्रोफाइल बचत गर्न सकिन्छ, साइन इन र उपकरणहरूमा वितरित

प्रोफाइल तयार भएपछि, तपाइँ यसलाई पोपीमा डाउनलोड गर्न र यसलाई स्थापना गर्न आवश्यक छ। स्थापना प्रक्रियाको क्रममा, तपाईंले प्रयोगकर्ताको usernmae_ldap र password_ldap निर्दिष्ट गर्न आवश्यक हुनेछ:

आईओएस

प्रक्रिया macOS जस्तै छ। तपाईंले प्रोफाइल प्रयोग गर्न आवश्यक छ (तपाईले macOS को लागि समान प्रयोग गर्न सक्नुहुन्छ। Apple Configurator मा प्रोफाइल कसरी सिर्जना गर्ने, माथि हेर्नुहोस्)।

प्रोफाइल डाउनलोड गर्नुहोस्, स्थापना गर्नुहोस्, प्रमाणहरू प्रविष्ट गर्नुहोस्, जडान गर्नुहोस्:

यति नै। हामीले रेडियस सर्भर सेटअप गर्यौं, यसलाई FreeIPA सँग सिंक गर्यौं, र Ubiquiti APs लाई WPA2-EAP प्रयोग गर्न भन्यौं।

सम्भावित प्रश्नहरू

IN: कर्मचारीलाई प्रोफाइल/प्रमाणपत्र कसरी हस्तान्तरण गर्ने?

बारेमा: म वेब पहुँच संग ftp मा सबै प्रमाणपत्र/प्रोफाइल भण्डारण गर्छु। FTP को अपवाद बाहेक, गति सीमा र इन्टरनेटमा मात्र पहुँचको साथ अतिथि सञ्जाल खडा गरियो।
प्रमाणीकरण 2 दिनको लागि रहन्छ, त्यसपछि यो रिसेट हुन्छ र ग्राहक इन्टरनेट बिना छोडिन्छ। त्यो। जब एक कर्मचारीले WiFi मा जडान गर्न चाहन्छ, उसले पहिले अतिथि नेटवर्कमा जडान गर्दछ, FTP पहुँच गर्दछ, उसलाई आवश्यक प्रमाणपत्र वा प्रोफाइल डाउनलोड गर्दछ, यसलाई स्थापना गर्दछ, र त्यसपछि कर्पोरेट नेटवर्कमा जडान गर्न सक्छ।

IN: किन MSCHAPv2 सँग स्कीमा प्रयोग नगर्ने? उनी अझ सुरक्षित छिन्!

बारेमा: सर्वप्रथम, यस्तो योजना NPS (Windows नेटवर्क नीति प्रणाली) मा राम्रोसँग काम गर्दछ, हाम्रो कार्यान्वयनमा LDAP (FreeIpa) कन्फिगर गर्न र सर्भरमा पासवर्ड ह्यासहरू भण्डारण गर्न आवश्यक छ। थप्नुहोस्। सेटिङ्हरू बनाउनु उचित हुँदैन, किनभने। यसले अल्ट्रासाउन्डलाई सिङ्क्रोनाइज गर्ने विभिन्न समस्याहरू निम्त्याउन सक्छ। दोस्रो, ह्यास MD4 हो, त्यसैले यसले धेरै सुरक्षा थप्दैन।

IN: के यो म्याक-ठेगानाहरू द्वारा यन्त्रहरूलाई अधिकृत गर्न सम्भव छ?

बारेमा: होइन, यो सुरक्षित छैन, आक्रमणकारीले MAC ठेगानाहरू परिवर्तन गर्न सक्छ, र अझ धेरै MAC ठेगानाहरू द्वारा प्राधिकरण धेरै उपकरणहरूमा समर्थित छैन।

IN: सामान्यतया यी सबै प्रमाणपत्रहरू के प्रयोग गर्न? के तपाईं तिनीहरू बिना सामेल हुन सक्नुहुन्छ?

बारेमा: प्रमाणपत्रहरू सर्भर अधिकृत गर्न प्रयोग गरिन्छ। ती। जडान गर्दा, उपकरणले जाँच गर्दछ कि यो एक सर्भर हो कि विश्वास गर्न सकिन्छ वा छैन। यदि यो छ भने, प्रमाणीकरण जान्छ, यदि छैन भने, जडान बन्द छ। तपाईं बिना प्रमाणपत्रहरू जडान गर्न सक्नुहुन्छ, तर यदि कुनै आक्रमणकारी वा छिमेकीले हाम्रो घरमा जस्तै नामको रेडियस सर्भर र पहुँच बिन्दु उठाउँछ भने, उसले प्रयोगकर्ताको प्रमाणहरू सजिलैसँग रोक्न सक्छ (तिनीहरू स्पष्ट पाठमा प्रसारित छन् भनेर नबिर्सनुहोस्)। र जब एक प्रमाणपत्र प्रयोग गरिन्छ, शत्रुले आफ्नो लग मा हाम्रो काल्पनिक प्रयोगकर्ता नाम मात्र देख्नेछ - अतिथि वा ग्राहक र एक प्रकार त्रुटि - अज्ञात CA प्रमाणपत्र।

macOS को बारेमा अलि बढीसामान्यतया macOS मा, प्रणाली पुन: स्थापना इन्टरनेट मार्फत गरिन्छ। रिकभरी मोडमा, म्याक वाइफाइमा जडान हुनुपर्छ, र न त हाम्रो कर्पोरेट वाइफाइ वा अतिथि नेटवर्कले यहाँ काम गर्नेछ। व्यक्तिगत रूपमा, मैले अर्को नेटवर्क, सामान्य WPA2-PSK, लुकेको, प्राविधिक कार्यहरूका लागि मात्र उठाएँ। वा तपाइँ अझै पनि पहिले नै प्रणाली संग बुट योग्य USB फ्लैश ड्राइव बनाउन सक्नुहुन्छ। तर यदि पोपी 2015 पछिको हो भने, तपाईंले अझै पनि यो फ्लैश ड्राइभको लागि एडाप्टर फेला पार्न आवश्यक छ)

स्रोत: www.habr.com