🥇 ਵਾਈਫਾਈ ਐਂਟਰਪ੍ਰਾਈਜ਼। FreeRadius + FreeIPA + Ubiquiti

ਕਾਰਪੋਰੇਟ ਵਾਈਫਾਈ ਨੂੰ ਸੰਗਠਿਤ ਕਰਨ ਦੀਆਂ ਕੁਝ ਉਦਾਹਰਣਾਂ ਪਹਿਲਾਂ ਹੀ ਵਰਣਨ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ। ਇੱਥੇ ਮੈਂ ਵਰਣਨ ਕਰਾਂਗਾ ਕਿ ਮੈਂ ਇੱਕ ਸਮਾਨ ਹੱਲ ਕਿਵੇਂ ਲਾਗੂ ਕੀਤਾ ਅਤੇ ਵੱਖ-ਵੱਖ ਡਿਵਾਈਸਾਂ 'ਤੇ ਕਨੈਕਟ ਕਰਨ ਵੇਲੇ ਮੈਨੂੰ ਕਿਹੜੀਆਂ ਸਮੱਸਿਆਵਾਂ ਦਾ ਸਾਹਮਣਾ ਕਰਨਾ ਪਿਆ। ਅਸੀਂ ਰਜਿਸਟਰਡ ਉਪਭੋਗਤਾਵਾਂ ਨਾਲ ਮੌਜੂਦਾ LDAP ਦੀ ਵਰਤੋਂ ਕਰਾਂਗੇ, FreeRadius ਨੂੰ ਵਧਾਵਾਂਗੇ ਅਤੇ Ubnt ਕੰਟਰੋਲਰ 'ਤੇ WPA2-Enterprise ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਾਂਗੇ। ਹਰ ਚੀਜ਼ ਸਧਾਰਨ ਜਾਪਦੀ ਹੈ. ਚਲੋ ਵੇਖਦੇ ਹਾਂ…

EAP ਵਿਧੀਆਂ ਬਾਰੇ ਥੋੜਾ ਜਿਹਾ

ਕੰਮ ਨਾਲ ਅੱਗੇ ਵਧਣ ਤੋਂ ਪਹਿਲਾਂ, ਸਾਨੂੰ ਇਹ ਫੈਸਲਾ ਕਰਨ ਦੀ ਲੋੜ ਹੈ ਕਿ ਅਸੀਂ ਆਪਣੇ ਹੱਲ ਵਿੱਚ ਕਿਹੜਾ ਪ੍ਰਮਾਣਿਕਤਾ ਵਿਧੀ ਵਰਤਾਂਗੇ।

ਵਿਕੀਪੀਡੀਆ ਤੋਂ:

EAP ਇੱਕ ਪ੍ਰਮਾਣਿਕਤਾ ਫਰੇਮਵਰਕ ਹੈ ਜੋ ਅਕਸਰ ਵਾਇਰਲੈੱਸ ਨੈੱਟਵਰਕਾਂ ਅਤੇ ਪੁਆਇੰਟ-ਟੂ-ਪੁਆਇੰਟ ਕਨੈਕਸ਼ਨਾਂ ਵਿੱਚ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਫਾਰਮੈਟ ਨੂੰ ਪਹਿਲਾਂ RFC 3748 ਵਿੱਚ ਵਰਣਨ ਕੀਤਾ ਗਿਆ ਸੀ ਅਤੇ RFC 5247 ਵਿੱਚ ਅੱਪਡੇਟ ਕੀਤਾ ਗਿਆ ਸੀ।
EAP ਦੀ ਵਰਤੋਂ ਇੱਕ ਪ੍ਰਮਾਣੀਕਰਨ ਵਿਧੀ ਚੁਣਨ, ਕੁੰਜੀਆਂ ਪਾਸ ਕਰਨ, ਅਤੇ ਉਹਨਾਂ ਕੁੰਜੀਆਂ ਨੂੰ ਪਲੱਗ-ਇਨਾਂ ਨਾਲ ਪ੍ਰਕਿਰਿਆ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਜਿਸਨੂੰ EAP ਵਿਧੀਆਂ ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਬਹੁਤ ਸਾਰੇ EAP ਢੰਗ ਹਨ, ਦੋਵੇਂ EAP ਨਾਲ ਪਰਿਭਾਸ਼ਿਤ ਕੀਤੇ ਗਏ ਹਨ ਅਤੇ ਵਿਅਕਤੀਗਤ ਵਿਕਰੇਤਾਵਾਂ ਦੁਆਰਾ ਜਾਰੀ ਕੀਤੇ ਗਏ ਹਨ। EAP ਲਿੰਕ ਲੇਅਰ ਨੂੰ ਪਰਿਭਾਸ਼ਿਤ ਨਹੀਂ ਕਰਦਾ, ਇਹ ਸਿਰਫ ਸੰਦੇਸ਼ ਫਾਰਮੈਟ ਨੂੰ ਪਰਿਭਾਸ਼ਿਤ ਕਰਦਾ ਹੈ। EAP ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਾਲੇ ਹਰੇਕ ਪ੍ਰੋਟੋਕੋਲ ਦਾ ਆਪਣਾ EAP ਸੁਨੇਹਾ ਇਨਕੈਪਸੂਲੇਸ਼ਨ ਪ੍ਰੋਟੋਕੋਲ ਹੁੰਦਾ ਹੈ।

ਢੰਗ ਆਪਣੇ ਆਪ:

LEAP CISCO ਦੁਆਰਾ ਵਿਕਸਤ ਇੱਕ ਮਲਕੀਅਤ ਪ੍ਰੋਟੋਕੋਲ ਹੈ। ਕਮਜ਼ੋਰੀਆਂ ਲੱਭੀਆਂ। ਵਰਤਮਾਨ ਵਿੱਚ ਵਰਤੋਂ ਲਈ ਸਿਫਾਰਸ਼ ਨਹੀਂ ਕੀਤੀ ਗਈ
EAP-TLS ਵਾਇਰਲੈੱਸ ਵਿਕਰੇਤਾਵਾਂ ਵਿੱਚ ਚੰਗੀ ਤਰ੍ਹਾਂ ਸਮਰਥਿਤ ਹੈ। ਇਹ ਇੱਕ ਸੁਰੱਖਿਅਤ ਪ੍ਰੋਟੋਕੋਲ ਹੈ ਕਿਉਂਕਿ ਇਹ SSL ਮਿਆਰਾਂ ਦਾ ਉੱਤਰਾਧਿਕਾਰੀ ਹੈ। ਕਲਾਇੰਟ ਦੀ ਸਥਾਪਨਾ ਕਾਫ਼ੀ ਗੁੰਝਲਦਾਰ ਹੈ। ਤੁਹਾਨੂੰ ਪਾਸਵਰਡ ਤੋਂ ਇਲਾਵਾ ਇੱਕ ਕਲਾਇੰਟ ਸਰਟੀਫਿਕੇਟ ਦੀ ਲੋੜ ਹੈ। ਬਹੁਤ ਸਾਰੇ ਸਿਸਟਮਾਂ 'ਤੇ ਸਮਰਥਿਤ ਹੈ
EAP-TTLS - ਬਹੁਤ ਸਾਰੇ ਸਿਸਟਮਾਂ 'ਤੇ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਸਮਰਥਿਤ, ਸਿਰਫ ਪ੍ਰਮਾਣਿਕਤਾ ਸਰਵਰ 'ਤੇ PKI ਸਰਟੀਫਿਕੇਟਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਚੰਗੀ ਸੁਰੱਖਿਆ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਦਾ ਹੈ।
EAP-MD5 ਇੱਕ ਹੋਰ ਖੁੱਲਾ ਮਿਆਰ ਹੈ। ਘੱਟੋ-ਘੱਟ ਸੁਰੱਖਿਆ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਦਾ ਹੈ. ਕਮਜ਼ੋਰ, ਆਪਸੀ ਪ੍ਰਮਾਣਿਕਤਾ ਅਤੇ ਕੁੰਜੀ ਬਣਾਉਣ ਦਾ ਸਮਰਥਨ ਨਹੀਂ ਕਰਦਾ
EAP-IKEv2 - ਇੰਟਰਨੈੱਟ ਕੁੰਜੀ ਐਕਸਚੇਂਜ ਪ੍ਰੋਟੋਕੋਲ ਸੰਸਕਰਣ 2 'ਤੇ ਅਧਾਰਤ. ਕਲਾਇੰਟ ਅਤੇ ਸਰਵਰ ਵਿਚਕਾਰ ਆਪਸੀ ਪ੍ਰਮਾਣਿਕਤਾ ਅਤੇ ਸੈਸ਼ਨ ਕੁੰਜੀ ਸਥਾਪਨਾ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ
PEAP ਇੱਕ ਖੁੱਲੇ ਮਿਆਰ ਵਜੋਂ CISCO, Microsoft ਅਤੇ RSA ਸੁਰੱਖਿਆ ਦਾ ਇੱਕ ਸੰਯੁਕਤ ਹੱਲ ਹੈ। ਉਤਪਾਦਾਂ ਵਿੱਚ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਉਪਲਬਧ, ਬਹੁਤ ਵਧੀਆ ਸੁਰੱਖਿਆ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। EAP-TTLS ਦੇ ਸਮਾਨ, ਸਰਵਰ ਸਾਈਡ 'ਤੇ ਸਿਰਫ਼ ਇੱਕ ਸਰਟੀਫਿਕੇਟ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ
PEAPv0/EAP-MSCHAPv2 - EAP-TLS ਤੋਂ ਬਾਅਦ, ਇਹ ਦੁਨੀਆ ਵਿੱਚ ਦੂਜਾ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤਿਆ ਜਾਣ ਵਾਲਾ ਮਿਆਰ ਹੈ। ਮਾਈਕ੍ਰੋਸਾਫਟ, ਸਿਸਕੋ, ਐਪਲ, ਲੀਨਕਸ ਵਿੱਚ ਵਰਤੇ ਗਏ ਕਲਾਇੰਟ-ਸਰਵਰ ਸਬੰਧ
PEAPv1/EAP-GTC - Cisco ਦੁਆਰਾ PEAPv0/EAP-MSCHAPv2 ਦੇ ਵਿਕਲਪ ਵਜੋਂ ਬਣਾਇਆ ਗਿਆ। ਕਿਸੇ ਵੀ ਤਰੀਕੇ ਨਾਲ ਪ੍ਰਮਾਣਿਕਤਾ ਡੇਟਾ ਦੀ ਸੁਰੱਖਿਆ ਨਹੀਂ ਕਰਦਾ ਹੈ। Windows OS 'ਤੇ ਸਮਰਥਿਤ ਨਹੀਂ ਹੈ
EAP-FAST LEAP ਦੀਆਂ ਕਮੀਆਂ ਨੂੰ ਠੀਕ ਕਰਨ ਲਈ Cisco ਦੁਆਰਾ ਵਿਕਸਤ ਇੱਕ ਤਕਨੀਕ ਹੈ। ਸੁਰੱਖਿਅਤ ਪਹੁੰਚ ਪ੍ਰਮਾਣ ਪੱਤਰ (PAC) ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਪੂਰੀ ਤਰ੍ਹਾਂ ਅਧੂਰਾ

ਇਸ ਸਭ ਵਿਭਿੰਨਤਾ ਵਿੱਚੋਂ, ਚੋਣ ਅਜੇ ਵੀ ਵਧੀਆ ਨਹੀਂ ਹੈ. ਪ੍ਰਮਾਣਿਕਤਾ ਵਿਧੀ ਦੀ ਲੋੜ ਸੀ: ਚੰਗੀ ਸੁਰੱਖਿਆ, ਸਾਰੀਆਂ ਡਿਵਾਈਸਾਂ 'ਤੇ ਸਮਰਥਨ (Windows 10, macOS, Linux, Android, iOS) ਅਤੇ, ਅਸਲ ਵਿੱਚ, ਜਿੰਨਾ ਸਰਲ ਓਨਾ ਹੀ ਵਧੀਆ। ਇਸ ਲਈ, ਚੋਣ PAP ਪ੍ਰੋਟੋਕੋਲ ਦੇ ਨਾਲ EAP-TTLS 'ਤੇ ਡਿੱਗ ਗਈ।
ਸਵਾਲ ਪੈਦਾ ਹੋ ਸਕਦਾ ਹੈ - PAP ਦੀ ਵਰਤੋਂ ਕਿਉਂ? ਕਿਉਂਕਿ ਉਹ ਸਪਸ਼ਟ ਰੂਪ ਵਿੱਚ ਪਾਸਵਰਡ ਪ੍ਰਸਾਰਿਤ ਕਰਦਾ ਹੈ?

ਹਾਂ ਓਹ ਠੀਕ ਹੈ. FreeRadius ਅਤੇ FreeIPA ਵਿਚਕਾਰ ਸੰਚਾਰ ਇਸ ਤਰੀਕੇ ਨਾਲ ਹੋਵੇਗਾ। ਡੀਬੱਗ ਮੋਡ ਵਿੱਚ, ਤੁਸੀਂ ਟ੍ਰੈਕ ਕਰ ਸਕਦੇ ਹੋ ਕਿ ਉਪਭੋਗਤਾ ਨਾਮ ਅਤੇ ਪਾਸਵਰਡ ਕਿਵੇਂ ਭੇਜਿਆ ਜਾਂਦਾ ਹੈ। ਹਾਂ, ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਜਾਣ ਦਿਓ, ਕੇਵਲ ਤੁਹਾਡੇ ਕੋਲ FreeRadius ਸਰਵਰ ਤੱਕ ਪਹੁੰਚ ਹੈ।

ਤੁਸੀਂ EAP-TTLS ਦੇ ਕੰਮ ਬਾਰੇ ਹੋਰ ਪੜ੍ਹ ਸਕਦੇ ਹੋ ਇੱਥੇ

FreeRADIUS

FreeRadius CentOS 7.6 'ਤੇ ਉਭਾਰਿਆ ਜਾਵੇਗਾ। ਇੱਥੇ ਕੁਝ ਵੀ ਗੁੰਝਲਦਾਰ ਨਹੀਂ ਹੈ, ਅਸੀਂ ਇਸਨੂੰ ਆਮ ਤਰੀਕੇ ਨਾਲ ਸੈਟ ਕਰਦੇ ਹਾਂ.

yum install freeradius freeradius-utils freeradius-ldap -y

ਸੰਸਕਰਣ 3.0.13 ਪੈਕੇਜਾਂ ਤੋਂ ਸਥਾਪਿਤ ਕੀਤਾ ਗਿਆ ਹੈ। ਬਾਅਦ ਵਾਲਾ ਲਿਆ ਜਾ ਸਕਦਾ ਹੈ https://freeradius.org/

ਉਸ ਤੋਂ ਬਾਅਦ, FreeRadius ਪਹਿਲਾਂ ਹੀ ਕੰਮ ਕਰ ਰਿਹਾ ਹੈ। ਤੁਸੀਂ /etc/raddb/users ਵਿੱਚ ਲਾਈਨ ਨੂੰ ਅਨਕਮੈਂਟ ਕਰ ਸਕਦੇ ਹੋ

steve   Cleartext-Password := "testing"

ਡੀਬੱਗ ਮੋਡ ਵਿੱਚ ਸਰਵਰ ਵਿੱਚ ਲਾਂਚ ਕਰੋ

freeradius -X

ਅਤੇ ਲੋਕਲਹੋਸਟ ਤੋਂ ਇੱਕ ਟੈਸਟ ਕਨੈਕਸ਼ਨ ਬਣਾਓ

radtest steve testing 127.0.0.1 1812 testing123

ਜਵਾਬ ਮਿਲ ਗਿਆ 115:127.0.0.1 ਤੋਂ 1812:127.0.0.1 ਲੰਬਾਈ 56081 ਤੱਕ ਪਹੁੰਚ-ਸਵੀਕਾਰ ਆਈਡੀ 20 ਪ੍ਰਾਪਤ ਕੀਤੀ, ਇਸਦਾ ਮਤਲਬ ਹੈ ਕਿ ਸਭ ਕੁਝ ਠੀਕ ਹੈ। ਲੰਗ ਜਾਓ.

ਅਸੀਂ ਮੋਡੀਊਲ ਨੂੰ ਜੋੜਦੇ ਹਾਂ ldap.

ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap

ਅਤੇ ਅਸੀਂ ਇਸਨੂੰ ਤੁਰੰਤ ਬਦਲ ਦੇਵਾਂਗੇ। ਸਾਨੂੰ FreeIPA ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਦੇ ਯੋਗ ਹੋਣ ਲਈ FreeRadius ਦੀ ਲੋੜ ਹੈ

mods-ਸਮਰੱਥ/ldap

ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...

ਰੇਡੀਅਸ ਸਰਵਰ ਨੂੰ ਮੁੜ ਚਾਲੂ ਕਰੋ ਅਤੇ LDAP ਉਪਭੋਗਤਾਵਾਂ ਦੇ ਸਮਕਾਲੀਕਰਨ ਦੀ ਜਾਂਚ ਕਰੋ:

radtest user_ldap password_ldap localhost 1812 testing123

ਵਿੱਚ ਸੰਪਾਦਨ ਕਰ ਰਿਹਾ ਹੈ mods-ਸਮਰੱਥ/eap
ਇੱਥੇ ਅਸੀਂ eap ਦੇ ਦੋ ਉਦਾਹਰਣਾਂ ਨੂੰ ਜੋੜਾਂਗੇ। ਉਹ ਸਿਰਫ਼ ਸਰਟੀਫਿਕੇਟਾਂ ਅਤੇ ਕੁੰਜੀਆਂ ਵਿੱਚ ਵੱਖਰੇ ਹੋਣਗੇ। ਮੈਂ ਹੇਠਾਂ ਦੱਸਾਂਗਾ ਕਿ ਇਹ ਸੱਚ ਕਿਉਂ ਹੈ।

mods-ਸਮਰੱਥ/eap

eap eap-client {                                                                                                                                                                                                                           default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_file = ${certdir}/fisrt.key
           certificate_file = ${certdir}/first.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}
eap eap-guest {
default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}
           tls-config tls-common {
           private_key_passwotd=blablabla
           private_key_file = ${certdir}/server.key
           certificate_file = ${certdir}/server.crt
           dh_file = ${certdir}/dh
           ca_path = ${cadir}
           cipher_list = "HIGH"
           cipher_server_preference = no
           ecdh_curve = "prime256v1"
           check_crl = no
           }
                                                                                                                                                                                                                                                                                                                                                                                                                                                 
           ttls {
           tls = tls-common
           default_eap_type = md5
           copy_request_to_tunnel = no
           use_tunneled_reply = yes
           virtual_server = "inner-tunnel"
           }
}

ਹੋਰ ਸੰਪਾਦਨ ਸਾਈਟ-ਸਮਰੱਥ/ਡਿਫੌਲਟ. ਅਧਿਕਾਰਤ ਅਤੇ ਪ੍ਰਮਾਣਿਤ ਭਾਗ ਦਿਲਚਸਪੀ ਦੇ ਹਨ।

ਸਾਈਟ-ਸਮਰੱਥ/ਡਿਫੌਲਟ

authorize {
  filter_username
  preprocess
  if (&User-Name == "guest") {
   eap-guest {
       ok = return
   }
  }
  elsif (&User-Name == "client") {
    eap-client {
       ok = return 
    }
  }
  else {
    eap-guest {
       ok = return
    }
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  logintime
  pap
  }

authenticate {
  Auth-Type LDAP {
    ldap
  }
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  pap
}

ਅਧਿਕਾਰਤ ਭਾਗ ਵਿੱਚ, ਅਸੀਂ ਉਹਨਾਂ ਸਾਰੇ ਮਾਡਿਊਲਾਂ ਨੂੰ ਹਟਾ ਦਿੰਦੇ ਹਾਂ ਜਿਨ੍ਹਾਂ ਦੀ ਸਾਨੂੰ ਲੋੜ ਨਹੀਂ ਹੈ। ਅਸੀਂ ਸਿਰਫ ldap ਛੱਡਦੇ ਹਾਂ. ਉਪਭੋਗਤਾ ਨਾਮ ਦੁਆਰਾ ਕਲਾਇੰਟ ਪੁਸ਼ਟੀਕਰਨ ਸ਼ਾਮਲ ਕਰੋ। ਇਸ ਲਈ ਅਸੀਂ ਉੱਪਰ eap ਦੀਆਂ ਦੋ ਉਦਾਹਰਣਾਂ ਜੋੜੀਆਂ ਹਨ।

ਮਲਟੀ ਈ.ਏ.ਪੀਤੱਥ ਇਹ ਹੈ ਕਿ ਕੁਝ ਡਿਵਾਈਸਾਂ ਨੂੰ ਕਨੈਕਟ ਕਰਦੇ ਸਮੇਂ, ਅਸੀਂ ਸਿਸਟਮ ਸਰਟੀਫਿਕੇਟ ਦੀ ਵਰਤੋਂ ਕਰਾਂਗੇ ਅਤੇ ਡੋਮੇਨ ਨੂੰ ਨਿਰਧਾਰਿਤ ਕਰਾਂਗੇ. ਸਾਡੇ ਕੋਲ ਇੱਕ ਭਰੋਸੇਯੋਗ ਸਰਟੀਫਿਕੇਟ ਅਥਾਰਟੀ ਤੋਂ ਇੱਕ ਸਰਟੀਫਿਕੇਟ ਅਤੇ ਇੱਕ ਕੁੰਜੀ ਹੈ। ਵਿਅਕਤੀਗਤ ਤੌਰ 'ਤੇ, ਮੇਰੀ ਰਾਏ ਵਿੱਚ, ਅਜਿਹੀ ਕੁਨੈਕਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਹਰੇਕ ਡਿਵਾਈਸ 'ਤੇ ਸਵੈ-ਦਸਤਖਤ ਕੀਤੇ ਸਰਟੀਫਿਕੇਟ ਨੂੰ ਸੁੱਟਣ ਨਾਲੋਂ ਆਸਾਨ ਹੈ. ਪਰ ਸਵੈ-ਦਸਤਖਤ ਸਰਟੀਫਿਕੇਟਾਂ ਤੋਂ ਬਿਨਾਂ ਵੀ, ਇਹ ਅਜੇ ਵੀ ਕੰਮ ਨਹੀਂ ਕਰ ਸਕਿਆ. ਸੈਮਸੰਗ ਡਿਵਾਈਸਾਂ ਅਤੇ ਐਂਡਰਾਇਡ =< 6 ਸੰਸਕਰਣ ਸਿਸਟਮ ਸਰਟੀਫਿਕੇਟ ਦੀ ਵਰਤੋਂ ਨਹੀਂ ਕਰ ਸਕਦੇ ਹਨ। ਇਸ ਲਈ, ਅਸੀਂ ਸਵੈ-ਦਸਤਖਤ ਕੀਤੇ ਸਰਟੀਫਿਕੇਟਾਂ ਦੇ ਨਾਲ ਉਹਨਾਂ ਲਈ eap-ਗੈਸਟ ਦੀ ਇੱਕ ਵੱਖਰੀ ਉਦਾਹਰਣ ਬਣਾਉਂਦੇ ਹਾਂ। ਹੋਰ ਸਾਰੀਆਂ ਡਿਵਾਈਸਾਂ ਲਈ, ਅਸੀਂ ਇੱਕ ਭਰੋਸੇਯੋਗ ਸਰਟੀਫਿਕੇਟ ਦੇ ਨਾਲ eap-client ਦੀ ਵਰਤੋਂ ਕਰਾਂਗੇ। ਜਦੋਂ ਡਿਵਾਈਸ ਕਨੈਕਟ ਹੁੰਦੀ ਹੈ ਤਾਂ ਯੂਜ਼ਰ-ਨਾਮ ਅਗਿਆਤ ਖੇਤਰ ਦੁਆਰਾ ਨਿਰਧਾਰਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਸਿਰਫ਼ 3 ਮੁੱਲਾਂ ਦੀ ਇਜਾਜ਼ਤ ਹੈ: ਮਹਿਮਾਨ, ਕਲਾਇੰਟ ਅਤੇ ਇੱਕ ਖਾਲੀ ਖੇਤਰ। ਬਾਕੀ ਸਭ ਕੁਝ ਰੱਦ ਕਰ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਸਿਆਸਤਦਾਨਾਂ ਵਿੱਚ ਸੰਰਚਿਤ ਕੀਤਾ ਜਾਵੇਗਾ। ਮੈਂ ਥੋੜ੍ਹੀ ਦੇਰ ਬਾਅਦ ਇੱਕ ਉਦਾਹਰਣ ਦੇਵਾਂਗਾ.

ਵਿੱਚ ਅਧਿਕਾਰਤ ਅਤੇ ਪ੍ਰਮਾਣਿਤ ਭਾਗਾਂ ਨੂੰ ਸੰਪਾਦਿਤ ਕਰੀਏ ਸਾਈਟ-ਸਮਰੱਥ/ਅੰਦਰੂਨੀ-ਸੁਰੰਗ

ਸਾਈਟ-ਸਮਰੱਥ/ਅੰਦਰੂਨੀ-ਸੁਰੰਗ

authorize {
  filter_username
  filter_inner_identity
  update control {
   &Proxy-To-Realm := LOCAL
  }
  ldap
  if ((ok || updated) && User-Password) {
    update {
        control:Auth-Type := ldap
    }
  }
  expiration
  digest
  logintime
  pap
  }

authenticate {
  Auth-Type eap-guest {
    eap-guest
  }
  Auth-Type eap-client {
    eap-client
  }
  Auth-Type PAP {
    pap
  }
  ldap
}

ਅੱਗੇ, ਤੁਹਾਨੂੰ ਨੀਤੀਆਂ ਵਿੱਚ ਇਹ ਦੱਸਣ ਦੀ ਲੋੜ ਹੈ ਕਿ ਅਗਿਆਤ ਲੌਗਇਨ ਲਈ ਕਿਹੜੇ ਨਾਮ ਵਰਤੇ ਜਾ ਸਕਦੇ ਹਨ। ਸੰਪਾਦਨ policy.d/filter.

ਤੁਹਾਨੂੰ ਇਸ ਵਰਗੀਆਂ ਲਾਈਨਾਂ ਲੱਭਣ ਦੀ ਲੋੜ ਹੈ:

if (&outer.request:User-Name !~ /^(anon|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

ਅਤੇ ਹੇਠਾਂ elsif ਵਿੱਚ ਲੋੜੀਂਦੇ ਮੁੱਲ ਸ਼ਾਮਲ ਕਰੋ:

elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
  update request {
    Module-Failure-Message = "User-Name is not anonymized"
  }
  reject
}

ਹੁਣ ਸਾਨੂੰ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਜਾਣ ਦੀ ਲੋੜ ਹੈ ਸਰਟੀਫਿਕੇਟ. ਇੱਥੇ ਤੁਹਾਨੂੰ ਇੱਕ ਭਰੋਸੇਯੋਗ ਸਰਟੀਫਿਕੇਟ ਅਥਾਰਟੀ ਤੋਂ ਕੁੰਜੀ ਅਤੇ ਸਰਟੀਫਿਕੇਟ ਪਾਉਣ ਦੀ ਲੋੜ ਹੈ, ਜੋ ਸਾਡੇ ਕੋਲ ਪਹਿਲਾਂ ਹੀ ਹੈ ਅਤੇ eap-ਗੇਸਟ ਲਈ ਸਵੈ-ਦਸਤਖਤ ਕੀਤੇ ਸਰਟੀਫਿਕੇਟ ਬਣਾਉਣ ਦੀ ਲੋੜ ਹੈ।

ਫਾਈਲ ਵਿੱਚ ਪੈਰਾਮੀਟਰ ਬਦਲੋ ca.cnf.

ca.cnf


...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"

ਅਸੀਂ ਫਾਈਲ ਵਿੱਚ ਉਹੀ ਮੁੱਲ ਲਿਖਦੇ ਹਾਂ server.cnf. ਅਸੀਂ ਸਿਰਫ ਬਦਲਦੇ ਹਾਂ
ਆਮ ਨਾਮ:

server.cnf


...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"

ਬਣਾਓ:

make

ਤਿਆਰ ਹੈ। ਪ੍ਰਾਪਤ ਕੀਤਾ server.crt и server.key ਅਸੀਂ ਪਹਿਲਾਂ ਹੀ eap-ਗੇਸਟ ਵਿੱਚ ਉੱਪਰ ਰਜਿਸਟਰ ਕਰ ਚੁੱਕੇ ਹਾਂ।

ਅਤੇ ਅੰਤ ਵਿੱਚ, ਆਓ ਫਾਈਲ ਵਿੱਚ ਸਾਡੇ ਐਕਸੈਸ ਪੁਆਇੰਟ ਜੋੜੀਏ ਗਾਹਕ. ਮੇਰੇ ਕੋਲ ਉਹਨਾਂ ਵਿੱਚੋਂ 7 ਹਨ। ਹਰੇਕ ਪੁਆਇੰਟ ਨੂੰ ਵੱਖਰੇ ਤੌਰ 'ਤੇ ਨਾ ਜੋੜਨ ਲਈ, ਅਸੀਂ ਸਿਰਫ਼ ਉਹੀ ਨੈੱਟਵਰਕ ਲਿਖਾਂਗੇ ਜਿਸ ਵਿੱਚ ਉਹ ਸਥਿਤ ਹਨ (ਮੇਰੇ ਪਹੁੰਚ ਪੁਆਇੰਟ ਇੱਕ ਵੱਖਰੇ VLAN ਵਿੱਚ ਹਨ)।

client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}

Ubiquiti ਕੰਟਰੋਲਰ

ਅਸੀਂ ਕੰਟਰੋਲਰ 'ਤੇ ਇੱਕ ਵੱਖਰਾ ਨੈੱਟਵਰਕ ਬਣਾਉਂਦੇ ਹਾਂ। ਇਸਨੂੰ 192.168.2.0/24 ਹੋਣ ਦਿਓ
ਸੈਟਿੰਗਾਂ -> ਪ੍ਰੋਫਾਈਲ 'ਤੇ ਜਾਓ। ਅਸੀਂ ਇੱਕ ਨਵਾਂ ਬਣਾਉਂਦੇ ਹਾਂ:

ਅਸੀਂ ਰੇਡੀਅਸ ਸਰਵਰ ਦਾ ਪਤਾ ਅਤੇ ਪੋਰਟ ਅਤੇ ਫਾਈਲ ਵਿੱਚ ਲਿਖਿਆ ਪਾਸਵਰਡ ਲਿਖਦੇ ਹਾਂ clients.conf:

ਇੱਕ ਨਵਾਂ ਵਾਇਰਲੈੱਸ ਨੈੱਟਵਰਕ ਨਾਮ ਬਣਾਓ। WPA-EAP (ਐਂਟਰਪ੍ਰਾਈਜ਼) ਨੂੰ ਪ੍ਰਮਾਣਿਕਤਾ ਵਿਧੀ ਵਜੋਂ ਚੁਣੋ ਅਤੇ ਬਣਾਏ ਗਏ ਰੇਡੀਅਸ ਪ੍ਰੋਫਾਈਲ ਨੂੰ ਨਿਸ਼ਚਿਤ ਕਰੋ:

ਅਸੀਂ ਸਭ ਕੁਝ ਬਚਾਉਂਦੇ ਹਾਂ, ਲਾਗੂ ਕਰਦੇ ਹਾਂ ਅਤੇ ਅੱਗੇ ਵਧਦੇ ਹਾਂ.

ਗਾਹਕਾਂ ਨੂੰ ਸਥਾਪਤ ਕਰਨਾ

ਆਉ ਸਭ ਤੋਂ ਮੁਸ਼ਕਲ ਨਾਲ ਸ਼ੁਰੂ ਕਰੀਏ!

Windows ਨੂੰ 10

ਮੁਸ਼ਕਲ ਇਸ ਤੱਥ 'ਤੇ ਆਉਂਦੀ ਹੈ ਕਿ ਵਿੰਡੋਜ਼ ਨੂੰ ਅਜੇ ਤੱਕ ਇਹ ਨਹੀਂ ਪਤਾ ਹੈ ਕਿ ਇੱਕ ਡੋਮੇਨ ਦੁਆਰਾ ਕਾਰਪੋਰੇਟ ਵਾਈਫਾਈ ਨਾਲ ਕਿਵੇਂ ਜੁੜਨਾ ਹੈ। ਇਸ ਲਈ, ਸਾਨੂੰ ਆਪਣੇ ਸਰਟੀਫਿਕੇਟ ਨੂੰ ਭਰੋਸੇਯੋਗ ਸਰਟੀਫਿਕੇਟ ਸਟੋਰ 'ਤੇ ਦਸਤੀ ਅਪਲੋਡ ਕਰਨਾ ਹੋਵੇਗਾ। ਇੱਥੇ ਤੁਸੀਂ ਸਵੈ-ਦਸਤਖਤ ਕੀਤੇ ਅਤੇ ਪ੍ਰਮਾਣੀਕਰਣ ਅਥਾਰਟੀ ਤੋਂ ਦੋਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹੋ। ਮੈਂ ਦੂਜੀ ਦੀ ਵਰਤੋਂ ਕਰਾਂਗਾ।

ਅੱਗੇ, ਤੁਹਾਨੂੰ ਇੱਕ ਨਵਾਂ ਕਨੈਕਸ਼ਨ ਬਣਾਉਣ ਦੀ ਲੋੜ ਹੈ। ਅਜਿਹਾ ਕਰਨ ਲਈ, ਨੈੱਟਵਰਕ ਅਤੇ ਇੰਟਰਨੈੱਟ ਸੈਟਿੰਗਾਂ -> ਨੈੱਟਵਰਕ ਅਤੇ ਸ਼ੇਅਰਿੰਗ ਸੈਂਟਰ -> ਨਵਾਂ ਕਨੈਕਸ਼ਨ ਜਾਂ ਨੈੱਟਵਰਕ ਬਣਾਓ ਅਤੇ ਕੌਂਫਿਗਰ ਕਰੋ 'ਤੇ ਜਾਓ:

ਅਸੀਂ ਹੱਥੀਂ ਨੈੱਟਵਰਕ ਦਾ ਨਾਮ ਦਰਜ ਕਰਦੇ ਹਾਂ ਅਤੇ ਸੁਰੱਖਿਆ ਕਿਸਮ ਬਦਲਦੇ ਹਾਂ। ਸਾਡੇ 'ਤੇ ਕਲਿੱਕ ਕਰਨ ਤੋਂ ਬਾਅਦ ਕੁਨੈਕਸ਼ਨ ਸੈਟਿੰਗ ਬਦਲੋ ਅਤੇ ਸੁਰੱਖਿਆ ਟੈਬ ਵਿੱਚ, ਨੈੱਟਵਰਕ ਪ੍ਰਮਾਣਿਕਤਾ ਚੁਣੋ - EAP-TTLS।

ਅਸੀਂ ਪੈਰਾਮੀਟਰਾਂ ਵਿੱਚ ਜਾਂਦੇ ਹਾਂ, ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਗੁਪਤਤਾ ਨੂੰ ਨਿਰਧਾਰਤ ਕਰਦੇ ਹਾਂ - ਗਾਹਕ. ਇੱਕ ਭਰੋਸੇਮੰਦ ਪ੍ਰਮਾਣੀਕਰਣ ਅਥਾਰਟੀ ਦੇ ਤੌਰ 'ਤੇ, ਸਾਡੇ ਦੁਆਰਾ ਸ਼ਾਮਲ ਕੀਤੇ ਗਏ ਸਰਟੀਫਿਕੇਟ ਦੀ ਚੋਣ ਕਰੋ, "ਜੇਕਰ ਸਰਵਰ ਨੂੰ ਅਧਿਕਾਰਤ ਨਹੀਂ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ ਤਾਂ ਉਪਭੋਗਤਾ ਨੂੰ ਸੱਦਾ ਜਾਰੀ ਨਾ ਕਰੋ" ਬਾਕਸ ਨੂੰ ਚੁਣੋ ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਵਿਧੀ ਚੁਣੋ - ਅਨਇਨਕ੍ਰਿਪਟਡ ਪਾਸਵਰਡ (PAP)।

ਅੱਗੇ, ਉੱਨਤ ਸੈਟਿੰਗਾਂ 'ਤੇ ਜਾਓ, "ਪ੍ਰਮਾਣਿਕਤਾ ਮੋਡ ਨਿਰਧਾਰਤ ਕਰੋ" 'ਤੇ ਟਿਕ ਲਗਾਓ। "ਉਪਭੋਗਤਾ ਪ੍ਰਮਾਣਿਕਤਾ" ਦੀ ਚੋਣ ਕਰੋ ਅਤੇ 'ਤੇ ਕਲਿੱਕ ਕਰੋ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰੋ. ਇੱਥੇ ਤੁਹਾਨੂੰ username_ldap ਅਤੇ password_ldap ਦਰਜ ਕਰਨ ਦੀ ਲੋੜ ਹੋਵੇਗੀ

ਅਸੀਂ ਸਭ ਕੁਝ ਬਚਾਉਂਦੇ ਹਾਂ, ਲਾਗੂ ਕਰਦੇ ਹਾਂ, ਬੰਦ ਕਰਦੇ ਹਾਂ. ਤੁਸੀਂ ਇੱਕ ਨਵੇਂ ਨੈੱਟਵਰਕ ਨਾਲ ਜੁੜ ਸਕਦੇ ਹੋ।

ਲੀਨਕਸ

ਮੈਂ ਉਬੰਟੂ 18.04, 18.10, ਫੇਡੋਰਾ 29, 30 'ਤੇ ਟੈਸਟ ਕੀਤਾ।

ਪਹਿਲਾਂ, ਆਓ ਸਾਡਾ ਸਰਟੀਫਿਕੇਟ ਡਾਊਨਲੋਡ ਕਰੀਏ। ਮੈਂ ਲੀਨਕਸ ਵਿੱਚ ਨਹੀਂ ਪਾਇਆ ਕਿ ਕੀ ਸਿਸਟਮ ਸਰਟੀਫਿਕੇਟ ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਸੰਭਵ ਹੈ ਅਤੇ ਕੀ ਅਜਿਹਾ ਕੋਈ ਸਟੋਰ ਹੈ ਜਾਂ ਨਹੀਂ.

ਅਸੀਂ ਡੋਮੇਨ ਰਾਹੀਂ ਜੁੜਾਂਗੇ। ਇਸ ਲਈ, ਸਾਨੂੰ ਪ੍ਰਮਾਣੀਕਰਨ ਅਥਾਰਟੀ ਤੋਂ ਇੱਕ ਸਰਟੀਫਿਕੇਟ ਦੀ ਲੋੜ ਹੈ ਜਿਸ ਤੋਂ ਸਾਡਾ ਸਰਟੀਫਿਕੇਟ ਖਰੀਦਿਆ ਗਿਆ ਸੀ।

ਸਾਰੇ ਕੁਨੈਕਸ਼ਨ ਇੱਕ ਵਿੰਡੋ ਵਿੱਚ ਬਣਾਏ ਗਏ ਹਨ। ਸਾਡੇ ਨੈੱਟਵਰਕ ਦੀ ਚੋਣ:

ਅਗਿਆਤ-ਗਾਹਕ
ਡੋਮੇਨ - ਉਹ ਡੋਮੇਨ ਜਿਸ ਲਈ ਸਰਟੀਫਿਕੇਟ ਜਾਰੀ ਕੀਤਾ ਗਿਆ ਹੈ

ਛੁਪਾਓ

ਗੈਰ-ਸੈਮਸੰਗ

ਵਰਜਨ 7 ਤੋਂ, ਵਾਈਫਾਈ ਨੂੰ ਕਨੈਕਟ ਕਰਨ ਵੇਲੇ, ਤੁਸੀਂ ਸਿਰਫ਼ ਡੋਮੇਨ ਨੂੰ ਨਿਸ਼ਚਿਤ ਕਰਕੇ ਸਿਸਟਮ ਸਰਟੀਫਿਕੇਟ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹੋ:

ਡੋਮੇਨ - ਉਹ ਡੋਮੇਨ ਜਿਸ ਲਈ ਸਰਟੀਫਿਕੇਟ ਜਾਰੀ ਕੀਤਾ ਗਿਆ ਹੈ
ਅਗਿਆਤ-ਗਾਹਕ

ਸੈਮਸੰਗ

ਜਿਵੇਂ ਕਿ ਮੈਂ ਉੱਪਰ ਲਿਖਿਆ ਹੈ, ਸੈਮਸੰਗ ਡਿਵਾਈਸਾਂ ਨੂੰ ਇਹ ਨਹੀਂ ਪਤਾ ਕਿ ਵਾਈਫਾਈ ਨਾਲ ਕਨੈਕਟ ਕਰਨ ਵੇਲੇ ਸਿਸਟਮ ਸਰਟੀਫਿਕੇਟ ਦੀ ਵਰਤੋਂ ਕਿਵੇਂ ਕਰਨੀ ਹੈ, ਅਤੇ ਉਹਨਾਂ ਕੋਲ ਇੱਕ ਡੋਮੇਨ ਦੁਆਰਾ ਕਨੈਕਟ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਨਹੀਂ ਹੈ। ਇਸ ਲਈ, ਤੁਹਾਨੂੰ ਪ੍ਰਮਾਣੀਕਰਨ ਅਥਾਰਟੀ (ca.pem, ਅਸੀਂ ਇਸਨੂੰ ਰੇਡੀਅਸ ਸਰਵਰ 'ਤੇ ਲੈਂਦੇ ਹਾਂ) ਦਾ ਰੂਟ ਸਰਟੀਫਿਕੇਟ ਦਸਤੀ ਸ਼ਾਮਲ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ। ਇਹ ਉਹ ਥਾਂ ਹੈ ਜਿੱਥੇ ਸਵੈ-ਦਸਤਖਤ ਕੀਤੇ ਜਾਣਗੇ।

ਸਰਟੀਫਿਕੇਟ ਨੂੰ ਆਪਣੀ ਡਿਵਾਈਸ ਤੇ ਡਾਊਨਲੋਡ ਕਰੋ ਅਤੇ ਇਸਨੂੰ ਸਥਾਪਿਤ ਕਰੋ।

ਸਰਟੀਫਿਕੇਟ ਸਥਾਪਨਾ

ਉਸੇ ਸਮੇਂ, ਤੁਹਾਨੂੰ ਸਕ੍ਰੀਨ ਅਨਲੌਕ ਪੈਟਰਨ, ਪਿੰਨ ਕੋਡ ਜਾਂ ਪਾਸਵਰਡ ਸੈੱਟ ਕਰਨ ਦੀ ਲੋੜ ਹੋਵੇਗੀ, ਜੇਕਰ ਇਹ ਪਹਿਲਾਂ ਤੋਂ ਸੈੱਟ ਨਹੀਂ ਹੈ:

ਮੈਂ ਇੱਕ ਸਰਟੀਫਿਕੇਟ ਸਥਾਪਤ ਕਰਨ ਦਾ ਇੱਕ ਗੁੰਝਲਦਾਰ ਸੰਸਕਰਣ ਦਿਖਾਇਆ. ਜ਼ਿਆਦਾਤਰ ਡਿਵਾਈਸਾਂ 'ਤੇ, ਸਿਰਫ਼ ਡਾਊਨਲੋਡ ਕੀਤੇ ਸਰਟੀਫਿਕੇਟ 'ਤੇ ਕਲਿੱਕ ਕਰੋ।

ਜਦੋਂ ਸਰਟੀਫਿਕੇਟ ਸਥਾਪਿਤ ਹੋ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਤੁਸੀਂ ਕਨੈਕਸ਼ਨ 'ਤੇ ਅੱਗੇ ਵਧ ਸਕਦੇ ਹੋ:

ਸਰਟੀਫਿਕੇਟ - ਤੁਹਾਡੇ ਦੁਆਰਾ ਸਥਾਪਿਤ ਕੀਤੇ ਗਏ ਨੂੰ ਦਰਸਾਓ
ਅਗਿਆਤ ਉਪਭੋਗਤਾ - ਮਹਿਮਾਨ

MacOS

ਬਾਕਸ ਤੋਂ ਬਾਹਰ ਐਪਲ ਡਿਵਾਈਸ ਸਿਰਫ EAP-TLS ਨਾਲ ਕਨੈਕਟ ਕਰ ਸਕਦੇ ਹਨ, ਪਰ ਤੁਹਾਨੂੰ ਅਜੇ ਵੀ ਉਹਨਾਂ 'ਤੇ ਇੱਕ ਸਰਟੀਫਿਕੇਟ ਸੁੱਟਣ ਦੀ ਲੋੜ ਹੈ। ਇੱਕ ਵੱਖਰੀ ਕਨੈਕਸ਼ਨ ਵਿਧੀ ਨਿਰਧਾਰਤ ਕਰਨ ਲਈ, ਤੁਹਾਨੂੰ ਐਪਲ ਕੌਂਫਿਗਰੇਟਰ 2 ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਲੋੜ ਹੈ। ਇਸਦੇ ਅਨੁਸਾਰ, ਤੁਹਾਨੂੰ ਪਹਿਲਾਂ ਇਸਨੂੰ ਆਪਣੇ ਮੈਕ ਵਿੱਚ ਡਾਊਨਲੋਡ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ, ਇੱਕ ਨਵਾਂ ਪ੍ਰੋਫਾਈਲ ਬਣਾਉਣਾ ਚਾਹੀਦਾ ਹੈ ਅਤੇ ਸਾਰੀਆਂ ਲੋੜੀਂਦੀਆਂ WiFi ਸੈਟਿੰਗਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।

ਐਪਲ ਸੰਰਚਨਾ ਕਰਤਾ

ਇੱਥੇ ਆਪਣਾ ਨੈੱਟਵਰਕ ਨਾਮ ਦਰਜ ਕਰੋ
ਸੁਰੱਖਿਆ ਕਿਸਮ - WPA2 ਐਂਟਰਪ੍ਰਾਈਜ਼
ਸਵੀਕਾਰ ਕੀਤੀਆਂ EAP ਕਿਸਮਾਂ - TTLS
ਉਪਭੋਗਤਾ ਨਾਮ ਅਤੇ ਪਾਸਵਰਡ - ਖਾਲੀ ਛੱਡੋ
ਅੰਦਰੂਨੀ ਪ੍ਰਮਾਣਿਕਤਾ - PAP
ਬਾਹਰੀ ਪਛਾਣ-ਗਾਹਕ

ਭਰੋਸਾ ਟੈਬ। ਇੱਥੇ ਅਸੀਂ ਆਪਣਾ ਡੋਮੇਨ ਨਿਰਧਾਰਤ ਕਰਦੇ ਹਾਂ

ਸਾਰੇ। ਪ੍ਰੋਫਾਈਲ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ, ਹਸਤਾਖਰਿਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ ਅਤੇ ਡਿਵਾਈਸਾਂ ਵਿੱਚ ਵੰਡਿਆ ਜਾ ਸਕਦਾ ਹੈ

ਪ੍ਰੋਫਾਈਲ ਤਿਆਰ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਤੁਹਾਨੂੰ ਇਸਨੂੰ ਭੁੱਕੀ ਵਿੱਚ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਇਸਨੂੰ ਸਥਾਪਿਤ ਕਰਨ ਦੀ ਲੋੜ ਹੈ। ਇੰਸਟਾਲੇਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਦੇ ਦੌਰਾਨ, ਤੁਹਾਨੂੰ ਉਪਭੋਗਤਾ ਦਾ usernmae_ldap ਅਤੇ password_ldap ਨਿਰਧਾਰਤ ਕਰਨ ਦੀ ਲੋੜ ਹੋਵੇਗੀ:

ਆਈਓਐਸ

ਪ੍ਰਕਿਰਿਆ ਮੈਕੋਸ ਦੇ ਸਮਾਨ ਹੈ। ਤੁਹਾਨੂੰ ਇੱਕ ਪ੍ਰੋਫਾਈਲ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਲੋੜ ਹੈ (ਤੁਸੀਂ ਉਹੀ ਵਰਤ ਸਕਦੇ ਹੋ ਜੋ ਮੈਕੋਸ ਲਈ ਹੈ। ਐਪਲ ਕੌਂਫਿਗਰੇਟਰ ਵਿੱਚ ਇੱਕ ਪ੍ਰੋਫਾਈਲ ਕਿਵੇਂ ਬਣਾਉਣਾ ਹੈ, ਉੱਪਰ ਦੇਖੋ)।

ਪ੍ਰੋਫਾਈਲ ਡਾਊਨਲੋਡ ਕਰੋ, ਸਥਾਪਿਤ ਕਰੋ, ਪ੍ਰਮਾਣ ਪੱਤਰ ਦਾਖਲ ਕਰੋ, ਕਨੈਕਟ ਕਰੋ:

ਇਹ ਸਭ ਹੈ. ਅਸੀਂ ਇੱਕ ਰੇਡੀਅਸ ਸਰਵਰ ਸੈਟ ਅਪ ਕੀਤਾ, ਇਸਨੂੰ FreeIPA ਨਾਲ ਸਿੰਕ ਕੀਤਾ, ਅਤੇ Ubiquiti APs ਨੂੰ WPA2-EAP ਦੀ ਵਰਤੋਂ ਕਰਨ ਲਈ ਕਿਹਾ।

ਸੰਭਵ ਸਵਾਲ

ਏ ਟੀ: ਕਿਸੇ ਕਰਮਚਾਰੀ ਨੂੰ ਪ੍ਰੋਫਾਈਲ/ਸਰਟੀਫਿਕੇਟ ਦਾ ਤਬਾਦਲਾ ਕਿਵੇਂ ਕਰਨਾ ਹੈ?

ਬਾਰੇ: ਮੈਂ ਵੈਬ ਐਕਸੈਸ ਦੇ ਨਾਲ ftp 'ਤੇ ਸਾਰੇ ਸਰਟੀਫਿਕੇਟ/ਪ੍ਰੋਫਾਈਲ ਸਟੋਰ ਕਰਦਾ ਹਾਂ। ftp ਦੇ ਅਪਵਾਦ ਦੇ ਨਾਲ, ਇੱਕ ਗਤੀ ਸੀਮਾ ਅਤੇ ਸਿਰਫ਼ ਇੰਟਰਨੈਟ ਤੱਕ ਪਹੁੰਚ ਦੇ ਨਾਲ ਇੱਕ ਗੈਸਟ ਨੈੱਟਵਰਕ ਨੂੰ ਉਭਾਰਿਆ ਗਿਆ ਹੈ।
ਪ੍ਰਮਾਣਿਕਤਾ 2 ਦਿਨਾਂ ਤੱਕ ਰਹਿੰਦੀ ਹੈ, ਜਿਸ ਤੋਂ ਬਾਅਦ ਇਸਨੂੰ ਰੀਸੈਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਕਲਾਇੰਟ ਨੂੰ ਇੰਟਰਨੈਟ ਤੋਂ ਬਿਨਾਂ ਛੱਡ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ। ਕਿ. ਜਦੋਂ ਕੋਈ ਕਰਮਚਾਰੀ ਵਾਈਫਾਈ ਨਾਲ ਜੁੜਨਾ ਚਾਹੁੰਦਾ ਹੈ, ਤਾਂ ਉਹ ਪਹਿਲਾਂ ਗੈਸਟ ਨੈੱਟਵਰਕ ਨਾਲ ਜੁੜਦਾ ਹੈ, FTP ਤੱਕ ਪਹੁੰਚ ਕਰਦਾ ਹੈ, ਉਸ ਨੂੰ ਲੋੜੀਂਦਾ ਸਰਟੀਫਿਕੇਟ ਜਾਂ ਪ੍ਰੋਫਾਈਲ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ, ਇਸਨੂੰ ਸਥਾਪਤ ਕਰਦਾ ਹੈ, ਅਤੇ ਫਿਰ ਕਾਰਪੋਰੇਟ ਨੈੱਟਵਰਕ ਨਾਲ ਜੁੜ ਸਕਦਾ ਹੈ।

ਏ ਟੀ: ਕਿਉਂ ਨਾ MSCHAPv2 ਨਾਲ ਸਕੀਮਾ ਦੀ ਵਰਤੋਂ ਕਰੀਏ? ਉਹ ਸੁਰੱਖਿਅਤ ਹੈ!

ਬਾਰੇ: ਸਭ ਤੋਂ ਪਹਿਲਾਂ, ਅਜਿਹੀ ਸਕੀਮ NPS (ਵਿੰਡੋਜ਼ ਨੈੱਟਵਰਕ ਪਾਲਿਸੀ ਸਿਸਟਮ) 'ਤੇ ਚੰਗੀ ਤਰ੍ਹਾਂ ਕੰਮ ਕਰਦੀ ਹੈ, ਸਾਡੇ ਲਾਗੂ ਕਰਨ ਵਿੱਚ LDAP (FreeIpa) ਨੂੰ ਸੰਰਚਿਤ ਕਰਨਾ ਅਤੇ ਸਰਵਰ 'ਤੇ ਪਾਸਵਰਡ ਹੈਸ਼ ਸਟੋਰ ਕਰਨਾ ਜ਼ਰੂਰੀ ਹੈ। ਸ਼ਾਮਲ ਕਰੋ। ਸੈਟਿੰਗਾਂ ਬਣਾਉਣ ਦੀ ਸਲਾਹ ਨਹੀਂ ਦਿੱਤੀ ਜਾਂਦੀ, ਕਿਉਂਕਿ. ਇਸ ਨਾਲ ਅਲਟਰਾਸਾਊਂਡ ਨੂੰ ਸਮਕਾਲੀ ਕਰਨ ਦੀਆਂ ਕਈ ਸਮੱਸਿਆਵਾਂ ਪੈਦਾ ਹੋ ਸਕਦੀਆਂ ਹਨ। ਦੂਜਾ, ਹੈਸ਼ MD4 ਹੈ, ਇਸਲਈ ਇਹ ਜ਼ਿਆਦਾ ਸੁਰੱਖਿਆ ਨਹੀਂ ਜੋੜਦਾ ਹੈ।

ਏ ਟੀ: ਕੀ ਮੈਕ-ਪਤਿਆਂ ਦੁਆਰਾ ਡਿਵਾਈਸਾਂ ਨੂੰ ਅਧਿਕਾਰਤ ਕਰਨਾ ਸੰਭਵ ਹੈ?

ਬਾਰੇ: ਨਹੀਂ, ਇਹ ਸੁਰੱਖਿਅਤ ਨਹੀਂ ਹੈ, ਇੱਕ ਹਮਲਾਵਰ MAC ਪਤਿਆਂ ਨੂੰ ਬਦਲ ਸਕਦਾ ਹੈ, ਅਤੇ ਹੋਰ ਵੀ ਬਹੁਤ ਸਾਰੇ ਡਿਵਾਈਸਾਂ 'ਤੇ MAC ਪਤਿਆਂ ਦੁਆਰਾ ਪ੍ਰਮਾਣਿਕਤਾ ਸਮਰਥਿਤ ਨਹੀਂ ਹੈ।

ਏ ਟੀ: ਆਮ ਤੌਰ 'ਤੇ ਇਹਨਾਂ ਸਾਰੇ ਸਰਟੀਫਿਕੇਟਾਂ ਲਈ ਕੀ ਵਰਤਣਾ ਹੈ? ਕੀ ਤੁਸੀਂ ਉਹਨਾਂ ਤੋਂ ਬਿਨਾਂ ਸ਼ਾਮਲ ਹੋ ਸਕਦੇ ਹੋ?

ਬਾਰੇ: ਸਰਟੀਫਿਕੇਟ ਸਰਵਰ ਨੂੰ ਅਧਿਕਾਰਤ ਕਰਨ ਲਈ ਵਰਤੇ ਜਾਂਦੇ ਹਨ। ਉਹ. ਕਨੈਕਟ ਕਰਨ ਵੇਲੇ, ਡਿਵਾਈਸ ਜਾਂਚ ਕਰਦੀ ਹੈ ਕਿ ਕੀ ਇਹ ਇੱਕ ਸਰਵਰ ਹੈ ਜਿਸ 'ਤੇ ਭਰੋਸਾ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ ਜਾਂ ਨਹੀਂ। ਜੇਕਰ ਅਜਿਹਾ ਹੈ, ਤਾਂ ਪ੍ਰਮਾਣਿਕਤਾ ਚਲਦੀ ਹੈ, ਜੇਕਰ ਨਹੀਂ, ਤਾਂ ਕੁਨੈਕਸ਼ਨ ਬੰਦ ਹੈ। ਤੁਸੀਂ ਬਿਨਾਂ ਸਰਟੀਫਿਕੇਟਾਂ ਦੇ ਕਨੈਕਟ ਕਰ ਸਕਦੇ ਹੋ, ਪਰ ਜੇਕਰ ਕੋਈ ਹਮਲਾਵਰ ਜਾਂ ਗੁਆਂਢੀ ਇੱਕ ਰੇਡੀਅਸ ਸਰਵਰ ਅਤੇ ਸਾਡੇ ਘਰ ਦੇ ਸਮਾਨ ਨਾਮ ਵਾਲਾ ਇੱਕ ਐਕਸੈਸ ਪੁਆਇੰਟ ਸੈੱਟ ਕਰਦਾ ਹੈ, ਤਾਂ ਉਹ ਉਪਭੋਗਤਾ ਦੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਆਸਾਨੀ ਨਾਲ ਰੋਕ ਸਕਦਾ ਹੈ (ਇਹ ਨਾ ਭੁੱਲੋ ਕਿ ਉਹ ਸਪਸ਼ਟ ਟੈਕਸਟ ਵਿੱਚ ਪ੍ਰਸਾਰਿਤ ਕੀਤੇ ਗਏ ਹਨ)। ਅਤੇ ਜਦੋਂ ਇੱਕ ਪ੍ਰਮਾਣ-ਪੱਤਰ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਦੁਸ਼ਮਣ ਆਪਣੇ ਲੌਗਸ ਵਿੱਚ ਸਿਰਫ ਸਾਡਾ ਫਰਜ਼ੀ ਉਪਭੋਗਤਾ-ਨਾਮ - ਮਹਿਮਾਨ ਜਾਂ ਕਲਾਇੰਟ ਅਤੇ ਇੱਕ ਕਿਸਮ ਦੀ ਗਲਤੀ - ਅਣਜਾਣ CA ਸਰਟੀਫਿਕੇਟ ਵੇਖੇਗਾ।

ਮੈਕੋਸ ਬਾਰੇ ਥੋੜਾ ਹੋਰਆਮ ਤੌਰ 'ਤੇ ਮੈਕੋਸ 'ਤੇ, ਸਿਸਟਮ ਨੂੰ ਮੁੜ ਸਥਾਪਿਤ ਕਰਨਾ ਇੰਟਰਨੈਟ ਰਾਹੀਂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਰਿਕਵਰੀ ਮੋਡ ਵਿੱਚ, Mac ਨੂੰ WiFi ਨਾਲ ਕਨੈਕਟ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ, ਅਤੇ ਨਾ ਤਾਂ ਸਾਡਾ ਕਾਰਪੋਰੇਟ WiFi ਅਤੇ ਨਾ ਹੀ ਮਹਿਮਾਨ ਨੈੱਟਵਰਕ ਇੱਥੇ ਕੰਮ ਕਰੇਗਾ। ਵਿਅਕਤੀਗਤ ਤੌਰ 'ਤੇ, ਮੈਂ ਇੱਕ ਹੋਰ ਨੈਟਵਰਕ, ਆਮ WPA2-PSK, ਲੁਕਿਆ ਹੋਇਆ, ਸਿਰਫ ਤਕਨੀਕੀ ਕਾਰਜਾਂ ਲਈ ਖੜ੍ਹਾ ਕੀਤਾ ਹੈ। ਜਾਂ ਤੁਸੀਂ ਅਜੇ ਵੀ ਸਿਸਟਮ ਨਾਲ ਪਹਿਲਾਂ ਤੋਂ ਬੂਟ ਹੋਣ ਯੋਗ USB ਫਲੈਸ਼ ਡਰਾਈਵ ਬਣਾ ਸਕਦੇ ਹੋ। ਪਰ ਜੇਕਰ ਭੁੱਕੀ 2015 ਤੋਂ ਬਾਅਦ ਹੈ, ਤਾਂ ਤੁਹਾਨੂੰ ਅਜੇ ਵੀ ਇਸ ਫਲੈਸ਼ ਡਰਾਈਵ ਲਈ ਇੱਕ ਅਡਾਪਟਰ ਲੱਭਣ ਦੀ ਲੋੜ ਹੋਵੇਗੀ)

ਸਰੋਤ: www.habr.com

ਵਾਈਫਾਈ ਐਂਟਰਪ੍ਰਾਈਜ਼। FreeRadius + FreeIPA + Ubiquiti