د کارپوریټ وائی فای تنظیم کولو ځینې مثالونه دمخه تشریح شوي. دلته به زه تشریح کړم چې څنګه ما دا ډول حل پلي کړ او هغه ستونزې چې ما د مختلف وسیلو سره وصل کیدو پرمهال ورسره مخ شوې. موږ به موجوده LDAP د تاسیس شوي کاروونکو سره وکاروو، FreeRadius نصب کړو او په Ubnt کنټرولر کې WPA2-Enterprise تنظیم کړو. هر څه ساده ښکاري. راځئ وګورو…
د EAP میتودونو په اړه لږ څه
مخکې له دې چې موږ کار پیل کړو، موږ باید پریکړه وکړو چې د تصدیق کولو کومه طریقه به موږ په خپل حل کې کاروو.
د ويکيپېډيا څخه:
EAP د تصدیق کولو چوکاټ دی چې ډیری وختونه په بې سیمه شبکو او نقطه نقطه اتصالاتو کې کارول کیږي. بڼه لومړی په RFC 3748 کې تشریح شوې او په RFC 5247 کې تازه شوې.
EAP د تصدیق کولو میتود غوره کولو ، کیلي لیږدولو ، او د EAP میتودونو په نوم د پلگ انونو لخوا دا کیلي پروسس کولو لپاره کارول کیږي. د EAP ډیری میتودونه شتون لري، دواړه پخپله د EAP سره تعریف شوي او د انفرادي پلورونکو لخوا خپاره شوي. EAP د لینک پرت نه تعریفوي، دا یوازې د پیغام بڼه تعریفوي. هر پروتوکول چې EAP کاروي خپل د EAP پیغام انکاپسول پروتوکول لري.
پخپله میتودونه:
- LEAP یو ملکیت پروتوکول دی چې د CISCO لخوا رامینځته شوی. زیانمنتیاوې وموندل شوې. اوس مهال د کارولو لپاره وړاندیز نه کیږي
- EAP-TLS د بې سیم پلورونکو ترمنځ ښه ملاتړ شوی. دا یو خوندي پروتوکول دی ځکه چې دا د SSL معیارونو جانشین دی. د پیرودونکي تنظیم کول خورا پیچلي دي. تاسو د پاسورډ سربیره د پیرودونکي سند ته اړتیا لرئ. په ډیری سیسټمونو کې ملاتړ شوی
- EAP-TTLS - په ډیری سیسټمونو کې په پراخه کچه ملاتړ شوی ، یوازې د تصدیق سرور کې د PKI سندونو په کارولو سره ښه امنیت وړاندیز کوي
- EAP-MD5 یو بل خلاص معیار دی. لږترلږه امنیت وړاندیز کوي. زیانمنونکي، د دوه اړخیز تصدیق او کلیدي نسل ملاتړ نه کوي
- EAP-IKEv2 - د انټرنیټ کیلي ایکسچینج پروتوکول نسخه 2 پراساس. د پیرودونکي او سرور ترمینځ دوه اړخیز تصدیق او سیشن کلیدي تاسیس چمتو کوي
- PEAP د خلاص معیار په توګه د CISCO، مایکروسافټ او RSA امنیت ترمنځ ګډ حل دی. په محصولاتو کې په پراخه کچه شتون لري ، خورا ښه خوندیتوب چمتو کوي. د EAP-TTLS سره ورته، یوازې د سرور اړخ سند ته اړتیا لري
- PEAPv0/EAP-MSCHAPv2 - د EAP-TLS وروسته، دا په نړۍ کې دوهم په پراخه کچه کارول شوی معیار دی. په مایکروسافټ، سیسکو، ایپل، لینکس کې کارول شوي پیرودونکي-سرور اړیکه
- PEAPv1/EAP-GTC - د سیسکو لخوا د PEAPv0/EAP-MSCHAPv2 بدیل په توګه رامینځته شوی. په هیڅ ډول د تصدیق ډاټا نه ساتي. په وینډوز OS کې ملاتړ نه کوي
- EAP-FAST یو میتود دی چې د سیسکو لخوا رامینځته شوی ترڅو د LEAP نیمګړتیاوې سم کړي. د خوندي لاسرسي سند (PAC) کاروي. په بشپړه توګه ناببره
د دې ټولو نوعو څخه، انتخاب لاهم عالي ندی. د تصدیق کولو میتود ته اړتیا ده: ښه امنیت ، په ټولو وسیلو کې ملاتړ (Windows 10, macOS, Linux, Android, iOS) او په حقیقت کې ، څومره چې ساده وي ښه. له همدې امله، انتخاب د PAP پروتوکول سره په ګډه په EAP-TTLS باندې راوتلی.
پوښتنه راپورته کیدی شي - ولې PAP کاروئ؟ په هرصورت، دا په روښانه متن کې پاسورډونه لیږدوي؟
هو دا صحیح دی. د FreeRadius او FreeIPA تر منځ اړیکه به په ورته ډول ترسره شي. په ډیبګ حالت کې، تاسو کولی شئ تعقیب کړئ چې څنګه د کارن نوم او پټنوم لیږل کیږي. هو، او دوی پریږدئ، یوازې تاسو د FreeRadius سرور ته لاسرسی لرئ.
تاسو کولی شئ پدې اړه نور ولولئ چې EAP-TTLS څنګه کار کوي
FreeRADIUS
موږ به FreeRadius CentOS 7.6 ته لوړ کړو. دلته هیڅ پیچلی ندی، موږ دا په معمول ډول نصب کوو.
yum install freeradius freeradius-utils freeradius-ldap -yد کڅوړو څخه، نسخه 3.0.13 نصب شوی. وروستنۍ په کې اخیستل کیدی شي
له دې وروسته، FreeRadius لا دمخه کار کوي. تاسو کولی شئ لاین په /etc/raddb/users کې غیر تبصره کړئ
steve Cleartext-Password := "testing"سرور ته په ډیبګ حالت کې لانچ کړئ
freeradius -Xاو د لوکل هوسټ څخه د ازموینې اړیکه جوړه کړئ
radtest steve testing 127.0.0.1 1812 testing123موږ ځواب ترلاسه کړ د 115:127.0.0.1 څخه تر 1812:127.0.0.1 اوږدوالی 56081 پورې د 20 لاسرسي-منلو ID ترلاسه شوی، دا پدې مانا ده چې هرڅه سم دي. وړاندې ځه.
د ماډل سره نښلول ldap.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldapاو موږ به یې سمدستي بدل کړو. موږ FreeRadius ته اړتیا لرو ترڅو FreeIPA ته لاسرسی ومومئ
mods-enabled/ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...د ریډیس سرور بیا پیل کړئ او د LDAP کاروونکو ترکیب چیک کړئ:
radtest user_ldap password_ldap localhost 1812 testing123
ایډیټ کول mods-enabled/eap
دلته به د eap دوه مثالونه اضافه کړو. دوی به یوازې په سندونو او کلیدونو کې توپیر ولري. زه به تشریح کړم چې ولې دا لاندې ریښتیا ده.
mods-enabled/eap
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}بیا موږ ترمیم کوو site-enabled/default. زه د مجاز او مستند برخو سره علاقه لرم.
site-enabled/default
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}د اختیار په برخه کې موږ ټول ماډلونه لرې کوو چې موږ ورته اړتیا نه لرو. موږ یوازې ldap پریږدو. د کارن نوم لخوا د پیرودونکي تایید اضافه کړئ. له همدې امله موږ پورته د eap دوه مثالونه اضافه کړل.
څو EAPحقیقت دا دی چې کله چې ځینې وسایل وصل کړئ موږ به د سیسټم سندونه وکاروو او ډومین مشخص کړو. موږ د باوري سند ادارې څخه سند او کیلي لرو. په شخصي توګه، زما په اند، د دې اړیکې کړنلاره په هر وسیله کې د ځان لاسلیک شوي سند اچولو څخه ساده ده. مګر حتی د ځان لاسلیک شوي سندونو پرته دا لاهم امکان نلري چې پریښودل شي. د سامسنګ وسایل او Android =< 6 نسخې نه پوهیږي چې څنګه د سیسټم سندونه وکاروي. له همدې امله، موږ د ځان لاسلیک شوي سندونو سره د دوی لپاره د eap-مېلمه جلا بیلګه رامینځته کوو. د نورو ټولو وسیلو لپاره به موږ د باور وړ سند سره eap- مراجعین وکاروو. د کارونکي نوم د نامعلوم ساحې لخوا ټاکل کیږي کله چې وسیله وصل کیږي. یوازې 3 ارزښتونو ته اجازه ورکول کیږي: میلمه، پیرودونکي او یو خالي ساحه. پاتې ټول رد شوي دي. دا په پالیسیو کې تنظیم کیدی شي. زه به لږ وروسته یو مثال ورکړم.
راځئ چې په کې د مجاز او مستند برخې ترمیم کړو سایټ فعال/اندر تونل
سایټ فعال/اندر تونل
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}بیا، تاسو اړتیا لرئ په پالیسیو کې مشخص کړئ چې کوم نومونه د نامعلوم ننوتلو لپاره کارول کیدی شي. ترمیم کول policy.d/filter.
تاسو اړتیا لرئ دې ته ورته کرښې ومومئ:
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}او لاندې په elsif کې اړین ارزښتونه اضافه کړئ:
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}اوس موږ اړتیا لرو چې لارښود ته لاړ شو سندونه. دلته موږ اړتیا لرو د یو باوري تصدیق کونکي ادارې څخه کلیدي او سند ولرو، کوم چې موږ دمخه لرو، او موږ اړتیا لرو چې د eap-مېلمه لپاره پخپله لاسلیک شوي سندونه تولید کړو.
په فایل کې د پیرامیټونو بدلول ca.cnf.
ca.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"موږ په فایل کې ورته ارزښتونه لیکو server.cnf. موږ یوازې بدلون کوو
عام نوم:
server.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"موږ جوړوو:
makeچمتو. ترلاسه کړ server.crt и server.key موږ لا دمخه په eap-مېلمه کې پورته ثبت کړی دی.
او په نهایت کې ، راځئ چې فایل ته زموږ د لاسرسي نقطې اضافه کړو مؤکل. زه له دوی څخه 7 لرم. د دې لپاره چې هر ټکی په جلا توګه اضافه نه کړو، موږ به یوازې هغه شبکه راجستر کړو چې دوی پکې موقعیت لري (زما د لاسرسي نقطې په جلا VLAN کې دي).
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}Ubiquiti کنټرولر
موږ په کنټرولر کې جلا شبکه پورته کوو. اجازه راکړئ چې دا 192.168.2.0/24 وي
ترتیبات -> پروفایل ته لاړ شئ. راځئ چې یو نوی جوړ کړو:
موږ د ریډیس سرور پته او پورټ او هغه پټنوم چې په فایل کې لیکل شوی و لیکو clients.conf:
د نوي بېسیم شبکې نوم جوړ کړئ. د تصدیق کولو میتود په توګه WPA-EAP (Enterprise) غوره کړئ او د رامینځته شوي ریډیس پروفایل مشخص کړئ:
موږ هرڅه خوندي کوو، پلي کوو او پرمخ ځو.
د پیرودونکو تنظیم کول
راځئ چې د خورا سختې برخې سره پیل وکړو!
Windows 10
ستونزه دا حقیقت ته راځي چې وینډوز لاهم نه پوهیږي چې څنګه په ډومین کې د کارپوریټ وائی فای سره وصل شي. له همدې امله ، موږ باید په لاسي ډول خپل سند د باوري سند پلورنځي ته پورته کړو. دلته تاسو کولی شئ یا د ځان لاسلیک شوي یو یا د تصدیق ادارې څخه یو وکاروئ. زه به دویمه کاروم.
بیا تاسو اړتیا لرئ یو نوی پیوستون جوړ کړئ. د دې کولو لپاره، د شبکې او انټرنیټ ترتیباتو ته لاړ شئ -> د شبکې او شریکولو مرکز -> یو نوی پیوستون یا شبکه جوړه او تنظیم کړئ:
موږ په لاسي ډول د شبکې نوم دننه کوو او د امنیت ډول بدلوو. بیا کلیک وکړئ د پیوستون ترتیبات بدل کړئ او په امنیت ټب کې، د شبکې تصدیق غوره کړئ - EAP-TTLS.
ترتیبات ته لاړ شئ، د تصدیق محرمیت تنظیم کړئ - د مراجعینو. د باوري تصدیق کونکي په توګه، هغه سند وټاکئ چې موږ یې اضافه کړی، بکس چیک کړئ "کارونکي ته بلنه مه ورکوئ که چیرې سرور اجازه ونلري" او د تصدیق طریقه غوره کړئ - ساده متن پاسورډ (PAP).
بیا ، اضافي پیرامیټونو ته لاړشئ او "د تصدیق حالت مشخص کړئ" بکس چیک کړئ. "د کارونکي تصدیق" غوره کړئ او کلیک وکړئ اسناد خوندي کړئ. دلته تاسو اړتیا لرئ د username_ldap او password_ldap داخل کړئ
موږ خوندي کوو، پلي کوو، هرڅه بندوو. تاسو کولی شئ د یوې نوې شبکې سره وصل شئ.
لینوکس
ما په اوبنټو 18.04، 18.10، فیډورا 29، 30 کې ازموینه وکړه.
لومړی، د ځان لپاره سند ډاونلوډ کړئ. ما په لینکس کې نه دی موندلی چې ایا دا ممکنه ده چې د سیسټم سندونه وکاروئ یا ایا دا ډول پلورنځی شتون لري.
موږ به د ډومین له لارې اړیکه ونیسو. له همدې امله ، موږ د تصدیق کولو ادارې څخه سند ته اړتیا لرو له کوم څخه چې زموږ سند اخیستل شوی و.
ټول ارتباطات په یوه کړکۍ کې جوړ شوي دي. زموږ شبکه غوره کړئ:
نامعلوم - پیرودونکي
ډومین - هغه ډومین چې سند یې صادر شوی و
Android
غیر سامسونګ
د 7 نسخه څخه، کله چې د وائی فای سره نښلول، تاسو کولی شئ یوازې د ډومین په ټاکلو سره د سیسټم سندونه وکاروئ:
ډومین - هغه ډومین چې سند یې صادر شوی و
نامعلوم - پیرودونکي
سامسنګ
لکه څنګه چې ما پورته لیکلي ، د سامسنګ وسیلې نه پوهیږي چې څنګه د سیسټم سندونه وکاروئ کله چې وائی فای وصل کړئ ، او دوی د ډومین له لارې د وصل کیدو وړتیا نلري. له همدې امله ، تاسو اړتیا لرئ په لاسي ډول د تصدیق ادارې ریډ سند اضافه کړئ (ca.pem ، دا د ریډیس سرور څخه واخلئ). دا هغه ځای دی چیرې چې ځان لاسلیک شوی کارول کیږي.
خپل وسیله ته سند ډاونلوډ کړئ او نصب یې کړئ.
د سند نصب کول
په دې حالت کې، تاسو اړتیا لرئ چې د سکرین انلاک نمونه، د PIN کوډ یا پټنوم ترتیب کړئ، که دا لا دمخه تنظیم شوی نه وي:
ما د سند نصبولو لپاره یو پیچلی اختیار وښود. په ډیری وسیلو کې ، په ساده ډول ډاونلوډ شوي سند باندې کلیک وکړئ.
کله چې سند نصب شي، تاسو کولی شئ پیوستون ته لاړ شئ:
سند - هغه په ګوته کړئ چې تاسو یې نصب کړی
نامعلوم کارونکي - میلمه
macOS
د آپیل وسیلې کولی شي یوازې له بکس څخه د EAP-TLS سره وصل شي ، مګر تاسو لاهم اړتیا لرئ دوی ته سند چمتو کړئ. د ارتباط مختلف میتود مشخص کولو لپاره، تاسو اړتیا لرئ د Apple Configurator 2 وکاروئ. په دې اساس، تاسو اړتیا لرئ لومړی دا په خپل میک کې ډاونلوډ کړئ، یو نوی پروفایل جوړ کړئ او ټول اړین وائی فای ترتیبات اضافه کړئ.
د ایپل تنظیم کونکي
دلته موږ زموږ د شبکې نوم په ګوته کوو
د امنیت ډول - WPA2 Enterprise
منل شوي EAP ډولونه - TTLS
د کارن نوم او پټنوم - خالي پریږدئ
داخلي تصدیق - PAP
بهرنی پیژندنه - پیرودونکي
د باور ټب. دلته موږ خپل ډومین په ګوته کوو
ټول. پروفایل خوندي کیدی شي ، لاسلیک کیدی شي او وسیلو ته توزیع کیدی شي
وروسته له دې چې پروفایل چمتو شي ، تاسو اړتیا لرئ دا خپل ماک ته ډاونلوډ کړئ او نصب یې کړئ. د نصبولو پروسې په جریان کې، تاسو اړتیا لرئ چې د کاروونکي usernmae_ldap او password_ldap مشخص کړئ:
iOS
پروسه macOS ته ورته ده. تاسو اړتیا لرئ یو پروفایل وکاروئ (تاسو کولی شئ ورته د macOS لپاره وکاروئ. پورته وګورئ چې څنګه د ایپل تنظیم کونکي کې پروفایل رامینځته کړئ).
پروفایل ډاونلوډ کړئ، نصب کړئ، اسناد داخل کړئ، وصل کړئ:
بس نور څه نه. موږ د ریډیس سرور تنظیم کړ ، دا د FreeIPA سره همغږي کړ ، او د Ubiquiti لاسرسي ځایونو ته یې وویل چې د WPA2-EAP کارولو لپاره.
احتمالي پوښتنې
په: څنګه یو کارمند ته پروفایل/سند لیک انتقال کړو؟
په اړه: زه ټول سندونه / پروفایلونه په FTP کې د ویب له لارې د لاسرسي سره ذخیره کوم. ما د میلمنو شبکه جوړه کړه چې د سرعت محدودیت او یوازې انټرنیټ ته لاسرسی لري، د FTP استثنا سره.
تصدیق 2 ورځې دوام کوي ، له هغې وروسته دا بیا تنظیم کیږي او پیرودونکي د انټرنیټ پرته پاتې کیږي. هغه. کله چې یو کارمند غواړي وائی فای سره وصل شي، هغه لومړی د میلمنو شبکې سره وصل کیږي، FTP ته ننوځي، هغه سند یا پروفایل ډاونلوډ کوي چې ورته اړتیا لري، نصبوي، او بیا کولی شي د کارپوریټ شبکې سره وصل شي.
په: ولې د MSCHAPv2 سره سکیم نه کاروئ؟ دا خوندي دی!
په اړه: لومړی، دا سکیم په NPS (د وینډوز شبکې پالیسۍ سیسټم) کې ښه کار کوي، زموږ په پلي کولو کې دا اړینه ده چې اضافي LDAP (FreeIpa) تنظیم کړئ او په سرور کې د پټنوم هشونه ذخیره کړئ. اضافه کړئ. دا د تنظیم کولو لپاره مشوره نه کیږي، ځکه چې دا کولی شي د الټراساؤنډ سیسټم ترکیب سره مختلف ستونزې رامینځته کړي. دوهم، هش MD4 دی، نو دا ډیر امنیت نه زیاتوي
په: ایا دا ممکنه ده چې د ماک پتې په کارولو سره وسایلو ته اجازه ورکړئ؟
په اړه: نه، دا خوندي نه دی، یو برید کوونکی کولی شي د MAC پتې غلا کړي، او حتی نور هم، د MAC ادرسونو لخوا اجازه ورکول په ډیری وسیلو کې نه ملاتړ کیږي.
په: ولې دا ټول سندونه په بشپړ ډول کاروئ؟ تاسو کولی شئ پرته له دوی سره اړیکه ونیسئ
په اړه: سندونه د سرور اجازه ورکولو لپاره کارول کیږي. هغوی. کله چې وصل شي، وسیله ګوري چې ایا دا یو سرور دی چې باور لري یا نه. که داسې وي، نو بیا تصدیق پرمخ ځي؛ که نه، پیوستون تړل شوی. تاسو کولی شئ پرته له سندونو سره وصل شئ، مګر که یو برید کونکی یا ګاونډی په کور کې زموږ په څیر ورته نوم سره د ریډیس سرور او د لاسرسي نقطه رامینځته کړي، هغه کولی شي په اسانۍ سره د کارونکي اسناد مداخله وکړي (هیره مه کوئ چې دوی په روښانه متن کې لیږدول شوي) . او کله چې یو سند وکارول شي ، دښمن به په خپلو لاګونو کې یوازې زموږ جعلي کارونکي نوم وګوري - میلمه یا پیرودونکي او یو ډول غلطی - نامعلوم CA سند
د macOS په اړه یو څه نورعموما، په macOS کې، د سیسټم بیا نصب کول د انټرنیټ له لارې ترسره کیږي. د بیا رغونې حالت کې، ماک باید د وائی فای سره وصل وي، او نه زموږ کارپوریټ وائی فای او نه د میلمنو شبکه به دلته کار وکړي. په شخصي توګه، ما بله شبکه نصب کړه، معمول WPA2-PSK، پټ شوی، یوازې د تخنیکي عملیاتو لپاره. یا تاسو کولی شئ دمخه د سیسټم سره د بوټ وړ USB فلش ډرایو هم جوړ کړئ. مګر که ستاسو ماک د 2015 وروسته وي، تاسو به د دې فلش ډرایو لپاره اډاپټر ومومئ)
سرچینه: www.habr.com