ڪارپوريٽ وائي فائي کي منظم ڪرڻ جا ڪجهه مثال اڳ ۾ بيان ڪيا ويا آهن. هتي آئون بيان ڪندس ته ڪيئن مون ساڳيو حل لاڳو ڪيو ۽ مختلف ڊوائيسن تي ڳنڍڻ وقت مون کي منهن ڏيڻو پيو. اسان موجوده LDAP کي رجسٽرڊ استعمال ڪندڙن سان استعمال ڪنداسين، FreeRadius کي وڌايو ۽ WPA2-Enterprise کي Ubnt ڪنٽرولر تي ترتيب ڏينداسين. سڀ ڪجھ سادو لڳي ٿو. اچو ته ڏسون…
EAP طريقن بابت ٿورو
ڪم سان اڳتي وڌڻ کان اڳ، اسان کي اھو فيصلو ڪرڻو پوندو ته اسان جي حل ۾ ڪھڙي تصديق جو طريقو استعمال ڪنداسين.
وڪيپيڊيا کان:
EAP هڪ تصديق وارو فريم ورڪ آهي جيڪو اڪثر وائرليس نيٽ ورڪ ۽ پوائنٽ کان پوائنٽ ڪنيڪشن ۾ استعمال ٿيندو آهي. فارميٽ پهريون ڀيرو RFC 3748 ۾ بيان ڪيو ويو ۽ RFC 5247 ۾ اپڊيٽ ڪيو ويو.
EAP استعمال ڪيو ويندو آهي هڪ تصديق جو طريقو چونڊڻ، ڪيز پاس ڪرڻ، ۽ انهن ڪنجين کي پلگ ان سان پروسيس ڪرڻ لاءِ جنهن کي EAP طريقن سڏيو ويندو آهي. اتي ڪيترائي EAP طريقا آھن، ٻئي خود EAP سان بيان ڪيا ويا آھن ۽ انفرادي وينڊرز پاران جاري ڪيا ويا آھن. EAP لنڪ پرت جي وضاحت نٿو ڪري، اهو صرف پيغام جي شڪل کي بيان ڪري ٿو. EAP استعمال ڪندي هر پروٽوڪول جو پنهنجو EAP پيغام encapsulation پروٽوڪول آهي.
پاڻ طريقا:
- LEAP هڪ ملڪيت وارو پروٽوڪول آهي جيڪو CISCO پاران تيار ڪيو ويو آهي. ڪمزوريون مليون. اهو في الحال استعمال ڪرڻ جي سفارش نه آهي
- EAP-TLS وائرليس وينڊرز جي وچ ۾ چڱي طرح سپورٽ آهي. اهو هڪ محفوظ پروٽوڪول آهي ڇاڪاڻ ته اهو ايس ايس ايل معيارن جو جانشين آهي. ڪلائنٽ کي ترتيب ڏيڻ ڪافي پيچيده آهي. توھان کي پاس ورڊ کان علاوه ڪلائنٽ سرٽيفڪيٽ جي ضرورت آھي. ڪيترن ئي سسٽم تي سپورٽ
- EAP-TTLS - ڪيترن ئي سسٽم تي وڏي پيماني تي سپورٽ، صرف تصديق سرور تي PKI سرٽيفڪيٽ استعمال ڪندي سٺي سيڪيورٽي پيش ڪري ٿو
- EAP-MD5 هڪ ٻيو کليل معيار آهي. گهٽ ۾ گهٽ سيڪيورٽي پيش ڪري ٿو. ڪمزور، باہمي تصديق ۽ اهم نسل جي حمايت نٿو ڪري
- EAP-IKEv2 - انٽرنيٽ ڪيئي ايڪسچينج پروٽوڪول ورزن 2 جي بنياد تي. ڪلائنٽ ۽ سرور جي وچ ۾ باہمي تصديق ۽ سيشن ڪيچ اسٽيبلشمينٽ مهيا ڪري ٿي
- PEAP کليل معيار جي طور تي CISCO، Microsoft ۽ RSA سيڪيورٽي جو گڏيل حل آهي. پروڊڪٽس ۾ وڏي پيماني تي دستياب آهي، تمام سٺو سيڪيورٽي فراهم ڪري ٿي. EAP-TTLS سان ملندڙ جلندڙ، سرور جي پاسي تي صرف هڪ سرٽيفڪيٽ جي ضرورت آهي
- PEAPv0/EAP-MSCHAPv2 - EAP-TLS کان پوءِ، ھي دنيا ۾ ٻيو وڏي پيماني تي استعمال ٿيل معيار آھي. استعمال ٿيل ڪلائنٽ-سرور تعلق Microsoft، Cisco، Apple، Linux ۾
- PEAPv1/EAP-GTC - Cisco پاران PEAPv0/EAP-MSCHAPv2 جي متبادل طور ٺاھيو ويو. ڪنهن به طريقي سان تصديق واري ڊيٽا جي حفاظت نٿو ڪري. Windows OS تي سپورٽ ناهي
- EAP-FAST هڪ ٽيڪنڪ آهي جيڪا سسکو پاران LEAP جي گهٽتائي کي درست ڪرڻ لاءِ ٺاهي وئي آهي. استعمال ڪري ٿو محفوظ رسائي سند (PAC). مڪمل طور تي اڻڄاتل
هن سڀني تنوع مان، انتخاب اڃا تائين عظيم نه آهي. تصديق جو طريقو گهربل هو: سٺي سيڪيورٽي، سڀني ڊوائيسز تي سپورٽ (ونڊوز 10، ميڪوس، لينڪس، Android، iOS) ۽، حقيقت ۾، آسان، بهتر. تنهن ڪري، چونڊ EAP-TTLS تي ٿي ويو PAP پروٽوڪول سان گڏ.
سوال پيدا ٿي سگھي ٿو - ڇو PAP استعمال ڪريو؟ ڇاڪاڻ ته هو صاف ۾ پاسورڊ منتقل ڪري ٿو؟
ها اهو صحيح آهي. FreeRadius ۽ FreeIPA جي وچ ۾ رابطي هن طريقي سان ٿيندي. ڊيبگ موڊ ۾، توهان ٽريڪ ڪري سگهو ٿا ته ڪيئن صارف نالو ۽ پاسورڊ موڪليو ويو آهي. ها، ۽ انهن کي وڃڻ ڏيو، صرف توهان کي رسائي آهي فري ريڊيس سرور تائين.
توهان EAP-TTLS جي ڪم بابت وڌيڪ پڙهي سگهو ٿا
فري ريڊيس
FreeRadius وڌيو ويندو CentOS 7.6 تي. هتي ڪجھ به پيچيده ناهي، اسان ان کي معمولي انداز ۾ ترتيب ڏيو.
yum install freeradius freeradius-utils freeradius-ldap -yنسخو 3.0.13 پيڪيجز مان انسٽال ٿيل آهي. بعد ۾ وٺي سگهجي ٿو
ان کان پوء، FreeRadius اڳ ۾ ئي ڪم ڪري رهيو آهي. توھان /etc/raddb/users ۾ لائن کي غير تبصرو ڪري سگھو ٿا
steve Cleartext-Password := "testing"ڊيبگ موڊ ۾ سرور ۾ لانچ ڪريو
freeradius -X۽ مقامي هوسٽ کان ٽيسٽ ڪنيڪشن ٺاهيو
radtest steve testing 127.0.0.1 1812 testing123جواب مليو 115:127.0.0.1 کان 1812:127.0.0.1 ڊگھائي 56081 تائين رسائي حاصل ڪئي وئي- Id 20 قبول ڪريو، مطلب ته سڀ ٺيڪ آهي. اڳتي وڃو.
اسان ماڊل کي ڳنڍيندا آهيون ايل ڊي پي.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap۽ اسان ان کي فوري طور تي تبديل ڪنداسين. اسان کي FreeIPA تائين رسائي حاصل ڪرڻ جي قابل ٿيڻ لاءِ FreeRadius جي ضرورت آهي
mods-enabled/ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...ريڊيس سرور کي ٻيهر شروع ڪريو ۽ LDAP استعمال ڪندڙن جي هم وقت سازي کي چيڪ ڪريو:
radtest user_ldap password_ldap localhost 1812 testing123
اي پي ۾ ايڊيٽنگ mods-enabled/eap
هتي اسان eap جا ٻه مثال شامل ڪريون ٿا. اهي صرف سرٽيفڪيٽ ۽ ڪنجين ۾ مختلف هوندا. هيٺ مان وضاحت ڪندس ته اهو ڇو آهي.
mods-enabled/eap
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}وڌيڪ ترميم سائيٽ-فعال/ڊفالٽ. مجاز ۽ تصديق جا حصا دلچسپي جا آهن.
سائيٽ-فعال/ڊفالٽ
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}اختيار ڏيڻ واري حصي ۾، اسان سڀ ماڊيولز کي هٽائي ڇڏيون ٿا جن جي اسان کي ضرورت ناهي. اسان صرف ldap ڇڏي ڏيو. شامل ڪريو صارف جي نالي سان ڪلائنٽ جي تصديق. ان ڪري اسان مٿي ايپ جا ٻه مثال شامل ڪيا.
ملٽي EAPحقيقت اها آهي ته جڏهن ڪجهه ڊوائيس ڳنڍيندي، اسان سسٽم سرٽيفڪيٽ استعمال ڪنداسين ۽ ڊومين جي وضاحت ڪنداسين. اسان وٽ هڪ قابل اعتماد سرٽيفڪيٽ اٿارٽي کان هڪ سرٽيفڪيٽ ۽ هڪ چيڪ آهي. ذاتي طور تي، منهنجي خيال ۾، اهڙي ڪنيڪشن جو طريقو هر ڊوائيس تي خودڪار دستخط ٿيل سرٽيفڪيٽ اڇلائڻ کان وڌيڪ آسان آهي. پر خود دستخط ٿيل سرٽيفڪيٽن کان سواءِ به، اهو اڃا تائين ڪم نه ڪيو آهي. Samsung ڊوائيسز ۽ Android =< 6 ورجن سسٽم سرٽيفڪيٽ استعمال نٿا ڪري سگهن. تنهن ڪري، اسان هڪ الڳ مثال ٺاهيندا آهيون ايپ-مهمان انهن لاءِ خود دستخط ٿيل سرٽيفڪيٽ سان. ٻين سڀني ڊوائيسز لاء، اسان استعمال ڪنداسين اي پي ڪلائنٽ هڪ قابل اعتماد سرٽيفڪيٽ سان. صارف جو نالو گمنام فيلڊ طرفان طئي ڪيو ويندو آهي جڏهن ڊوائيس ڳنڍيل آهي. صرف 3 قدرن جي اجازت آهي: مهمان، ڪلائنٽ ۽ هڪ خالي ميدان. باقي سڀ ڪجهه رد ڪيو ويو آهي. اهو سياستدانن ۾ ترتيب ڏنو ويندو. مان ٿوري دير کان پوءِ مثال ڏيندس.
اچو ته ايڊٽ ڪريون مجازي ۽ تصديق ٿيل سيڪشن ۾ سائيٽ-فعال/اندر-سرنگ
سائيٽ-فعال/اندر-سرنگ
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}اڳيون، توهان کي پاليسين ۾ بيان ڪرڻ جي ضرورت آهي جيڪي نالا گمنام لاگ ان لاء استعمال ڪري سگھجن ٿيون. ترميم ڪرڻ policy.d/filter.
توھان کي ھن سان ملندڙ لائنون ڳولڻ جي ضرورت آھي:
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}۽ هيٺ ڏنل elsif ۾ گهربل قدر شامل ڪريو:
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}ھاڻي اسان کي ڊاريڪٽري ڏانھن وڃڻو پوندو سرٽيفڪيٽ. هتي توهان کي هڪ قابل اعتماد سرٽيفڪيٽ اٿارٽي کان ڪنجي ۽ سرٽيفڪيٽ ڏيڻ جي ضرورت آهي، جيڪو اسان وٽ اڳ ۾ ئي آهي ۽ اي پي-مهمان لاءِ پاڻمرادو دستخط ٿيل سرٽيفڪيٽ ٺاهڻ جي ضرورت آهي.
فائل ۾ پيٽرولر تبديل ڪريو ca.cnf.
ca.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"اسان فائل ۾ ساڳيا قدر لکندا آهيون server.cnf. اسان صرف تبديل ڪريون ٿا
عام نالو:
server.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"ٺاهيو:
makeتيار. مليل server.crt и server.key اسان اڳ ۾ ئي مٿي رجسٽرڊ ڪيو آهي eap-guest.
۽ آخرڪار، اچو ته اسان جي رسائي پوائنٽ کي فائل ۾ شامل ڪريو client.conf. مون وٽ انهن مان 7 آهن. هر پوائنٽ کي الڳ نه شامل ڪرڻ لاءِ، اسان صرف ان نيٽ ورڪ کي لکنداسين جنهن ۾ اهي واقع آهن (منهنجي رسائي پوائنٽ هڪ الڳ VLAN ۾ آهن).
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}Ubiquiti ڪنٽرولر
اسان ڪنٽرولر تي هڪ الڳ نيٽ ورڪ وڌايو. اچو ته 192.168.2.0/24
سيٽنگون ڏانهن وڃو -> پروفائل. اسان هڪ نئون ٺاهيو:
اسان ريڊيس سرور جو پتو ۽ پورٽ لکون ٿا ۽ پاسورڊ جيڪو فائل ۾ لکيل هو clients.conf:
نئون وائرليس نيٽ ورڪ جو نالو ٺاھيو. WPA-EAP (انٽرپرائز) کي تصديق جي طريقي طور چونڊيو ۽ ٺاھيو ريڊيس پروفائل بيان ڪريو:
اسان سڀ ڪجهه بچايو، لاڳو ڪريو ۽ اڳتي وڌو.
گراهڪن کي ترتيب ڏيڻ
اچو ته سڀ کان وڌيڪ مشڪل سان شروع ڪريون!
ونڊوز 10
ڏکيائي هن حقيقت تي اچي ٿي ته ونڊوز اڃا تائين نه ٿو ڄاڻي ته ڊومين ذريعي ڪارپوريٽ وائي فائي سان ڪيئن ڳنڍجي. تنهن ڪري، اسان کي دستي طور تي اسان جي سرٽيفڪيٽ کي قابل اعتماد سرٽيفڪيٽ اسٽور تي اپلوڊ ڪرڻو پوندو. هتي توهان ٻئي استعمال ڪري سگهو ٿا خود دستخط ٿيل ۽ سرٽيفڪيشن اٿارٽي کان. مان ٻيو استعمال ڪندس.
اڳيون، توهان کي هڪ نئون ڪنيڪشن ٺاهڻ جي ضرورت آهي. ائين ڪرڻ لاءِ، وڃو نيٽ ورڪ ۽ انٽرنيٽ سيٽنگون -> نيٽورڪ ۽ شيئرنگ سينٽر -> نئون ڪنيڪشن يا نيٽ ورڪ ٺاھيو ۽ ترتيب ڏيو:
دستي طور نيٽ ورڪ جو نالو داخل ڪريو ۽ سيڪيورٽي جو قسم تبديل ڪريو. اسان کي ڪلڪ ڪرڻ کان پوء ڪنيڪشن سيٽنگون تبديل ڪريو ۽ سيڪيورٽي ٽيب ۾، چونڊيو نيٽ ورڪ جي تصديق - EAP-TTLS.
اسان پيرا ميٽرز ۾ وڃون ٿا، تصديق جي رازداري بيان ڪريو - مختاران مائي. هڪ قابل اعتماد سرٽيفڪيشن اٿارٽي جي طور تي، چونڊيو جيڪو سرٽيفڪيٽ اسان شامل ڪيو آهي، دٻي کي چيڪ ڪريو "جيڪڏهن سرور کي اجازت نه ملي سگهي ته صارف کي دعوت نامو جاري نه ڪريو" ۽ تصديق جو طريقو چونڊيو - اڻ ڳڻي پاسورڊ (PAP).
اڳيون، ترقي يافته سيٽنگون ڏانھن وڃو، "تصديق جي تصديق واري موڊ" تي ٽڪ ڪريو. منتخب ڪريو "صارف جي تصديق" ۽ تي ڪلڪ ڪريو سند محفوظ ڪريو. هتي توهان کي داخل ڪرڻ جي ضرورت پوندي username_ldap ۽ password_ldap
اسان هر شيء کي بچايو، لاڳو ڪريو، بند ڪريو. توهان هڪ نئين نيٽ ورڪ سان ڳنڍي سگهو ٿا.
لينڪس
مون Ubuntu 18.04، 18.10، Fedora 29، 30 تي آزمايو.
پهرين، اچو ته اسان جي سرٽيفڪيٽ کي ڊائون لوڊ ڪريو. مون کي لينڪس ۾ نه مليو ته ڇا اهو ممڪن آهي سسٽم سرٽيفڪيٽ استعمال ڪرڻ ۽ ڇا اتي ئي هڪ اسٽور آهي.
اچو ته ڊومين سان ڳنڍيون. تنهن ڪري، اسان کي سرٽيفڪيشن اٿارٽي کان هڪ سرٽيفڪيٽ جي ضرورت آهي جنهن کان اسان جو سرٽيفڪيٽ خريد ڪيو ويو آهي.
سڀئي ڪنيڪشن ھڪڙي ونڊو ۾ ڪيا ويا آھن. اسان جو نيٽ ورڪ چونڊيو:
گمنام گراهڪ
ڊومين - اهو ڊومين جنهن لاءِ سرٽيفڪيٽ جاري ڪيو ويو آهي
Android
غير سامسنگ
نسخو 7 کان، جڏهن وائي فائي کي ڳنڍيندي، توهان صرف ڊومين جي وضاحت ڪندي سسٽم سرٽيفڪيٽ استعمال ڪري سگهو ٿا:
ڊومين - اهو ڊومين جنهن لاءِ سرٽيفڪيٽ جاري ڪيو ويو آهي
گمنام گراهڪ
سنگ
جيئن مون مٿي لکيو آهي، سامسنگ ڊوائيسز کي خبر ناهي ته سسٽم سرٽيفڪيٽ ڪيئن استعمال ڪجي جڏهن وائي فائي سان ڳنڍجي، ۽ انهن وٽ ڊومين ذريعي ڳنڍڻ جي صلاحيت ناهي. تنهن ڪري، توهان کي لازمي طور تي سرٽيفڪيشن اٿارٽي جي روٽ سرٽيفڪيٽ کي دستي طور شامل ڪرڻ گهرجي (ca.pem، اسان ان کي ريڊيس سرور تي وٺون ٿا). هتي اهو آهي جتي خود دستخط ٿيل استعمال ڪيو ويندو.
پنهنجي ڊوائيس تي سرٽيفڪيٽ ڊائون لوڊ ڪريو ۽ ان کي انسٽال ڪريو.
سرٽيفڪيٽ جي انسٽاليشن
ساڳئي وقت، توهان کي اسڪرين انلاڪ جي نموني، پن ڪوڊ يا پاسورڊ سيٽ ڪرڻ جي ضرورت پوندي، جيڪڏهن اهو اڳ ۾ ئي سيٽ نه آهي:
مون هڪ سرٽيفڪيٽ کي نصب ڪرڻ جو هڪ پيچيده نسخو ڏيکاريو. اڪثر ڊوائيسز تي، صرف ڊائون لوڊ ٿيل سرٽيفڪيٽ تي ڪلڪ ڪريو.
جڏهن سرٽيفڪيٽ نصب ٿيل آهي، توهان اڳتي وڌائي سگهو ٿا ڪنيڪشن ڏانهن:
سرٽيفڪيٽ - اهو ظاهر ڪريو جيڪو نصب ڪيو ويو آهي
گمنام استعمال ڪندڙ - مهمان
macOS
دٻي مان ايپل ڊوائيسز صرف EAP-TLS سان ڳنڍي سگهن ٿيون، پر توهان اڃا تائين انهن تي سرٽيفڪيٽ اڇلائڻ جي ضرورت آهي. هڪ مختلف ڪنيڪشن جو طريقو بيان ڪرڻ لاءِ، توهان کي استعمال ڪرڻو پوندو Apple Configurator 2. ان مطابق، توهان کي پهريان ان کي پنهنجي Mac تي ڊائون لوڊ ڪرڻ گهرجي، هڪ نئون پروفائل ٺاهيو ۽ سڀئي ضروري وائي فائي سيٽنگون شامل ڪريو.
ايپل ڪانگريس وارو
پنھنجي نيٽ ورڪ جو نالو ھتي داخل ڪريو
سيڪيورٽي قسم - WPA2 انٽرپرائز
قبول ٿيل EAP قسم - TTLS
استعمال ڪندڙ جو نالو ۽ پاسورڊ - خالي ڪريو
اندروني تصديق - PAP
ٻاهرين سڃاڻپ- گراهڪ
اعتماد واري ٽيب. هتي اسان پنهنجي ڊومين جي وضاحت ڪريون ٿا
سڀ. پروفائل محفوظ ڪري سگھجي ٿو، سائن ان ۽ ڊوائيسز تي ورهائي سگھجي ٿو
پروفائل تيار ٿيڻ کان پوء، توھان کي ان کي ڊائون لوڊ ڪرڻ جي ضرورت آھي پاپي ۾ ۽ انسٽال ڪريو. انسٽاليشن جي عمل دوران، توهان کي صارف جي usernmae_ldap ۽ password_ldap جي وضاحت ڪرڻ جي ضرورت پوندي:
به iOS
اهو عمل macOS سان ملندڙ جلندڙ آهي. توهان کي پروفائل استعمال ڪرڻ جي ضرورت آهي (توهان ساڳيو استعمال ڪري سگهو ٿا جيئن macOS لاءِ. ايپل ڪنفيگريٽر ۾ پروفائل ڪيئن ٺاهيو، مٿي ڏسو).
پروفائل ڊائون لوڊ ڪريو، انسٽال ڪريو، سند داخل ڪريو، ڳنڍيو:
اهو ئي سڀ ڪجهه آهي. اسان هڪ ريڊيس سرور قائم ڪيو، ان کي FreeIPA سان هم وقت ڪيو، ۽ Ubiquiti APs کي WPA2-EAP استعمال ڪرڻ لاءِ چيو.
ممڪن سوال
۾: هڪ ملازم کي پروفائيل/سرٽيفڪيٽ ڪيئن منتقل ڪجي؟
بابت مان ويب رسائي سان ايف ٽي پي تي سڀئي سرٽيفڪيٽ/پروفائيل محفوظ ڪريان ٿو. رفتار جي حد سان گڏ هڪ مهمان نيٽ ورڪ وڌايو ۽ صرف انٽرنيٽ تائين رسائي، ftp جي استثنا سان.
تصديق 2 ڏينهن تائين رهي ٿو، جنهن کان پوء اهو ريٽ ڪيو ويو آهي ۽ ڪلائنٽ انٽرنيٽ کان سواء ڇڏي ويو آهي. اهو. جڏهن ڪو ملازم وائي فائي سان ڳنڍڻ چاهي ٿو، هو پهريان مهمان نيٽ ورڪ سان ڳنڍي ٿو، ايف ٽي پي تائين رسائي ٿو، سرٽيفيڪيٽ يا پروفائل ڊائون لوڊ ڪري ٿو جنهن کي هن جي ضرورت آهي، ان کي انسٽال ڪري ٿو، ۽ پوءِ ڪارپوريٽ نيٽ ورڪ سان ڳنڍي سگھي ٿو.
۾: MSCHAPv2 سان اسڪيما ڇو نه استعمال ڪيو وڃي؟ هوء وڌيڪ محفوظ آهي!
بابت پهرين، اهڙي اسڪيم NPS (ونڊوز نيٽ ورڪ پاليسي سسٽم) تي سٺو ڪم ڪري ٿي، اسان جي عمل ۾ اضافي طور تي LDAP (FreeIpa) کي ترتيب ڏيڻ ۽ سرور تي پاسورڊ هيش کي ذخيرو ڪرڻ ضروري آهي. شامل ڪريو. اهو سيٽنگون ٺاهڻ جي صلاح نه آهي، ڇاڪاڻ ته. اهو الٽراسائونڊ کي هم وقت سازي ڪرڻ جي مختلف مسئلن جي ڪري سگھي ٿو. ٻيو، هيش MD4 آهي، تنهنڪري اهو گهڻو سيڪيورٽي شامل نٿو ڪري.
۾: ڇا ميڪ ايڊريس ذريعي ڊوائيسز کي اختيار ڏيڻ ممڪن آهي؟
بابت نه، اهو محفوظ ناهي، هڪ حملو ڪندڙ MAC ايڊريس کي تبديل ڪري سگهي ٿو، ۽ ان کان به وڌيڪ، ڪيترن ئي ڊوائيسز تي MAC پتي جي اجازت ڏيڻ جي سهولت نه آهي.
۾: عام طور تي انهن سڀني سرٽيفڪيٽن لاءِ ڇا استعمال ڪجي؟ ڇا تون انھن کان سواءِ شامل ٿي سگھين ٿو؟
بابت سرٽيفڪيٽ سرور کي اختيار ڏيڻ لاءِ استعمال ڪيا ويندا آهن. اهي. جڏهن ڳنڍڻ، ڊوائيس چيڪ ڪري ٿو ته ڇا اهو سرور آهي جنهن تي ڀروسو ڪري سگهجي ٿو يا نه. جيڪڏهن اهو آهي، ته پوء تصديق ٿئي ٿي، جيڪڏهن نه، ڪنيڪشن بند آهي. توهان بغير سرٽيفڪيٽ جي ڳنڍي سگهو ٿا، پر جيڪڏهن ڪو حملو ڪندڙ يا پاڙيسري هڪ ريڊيس سرور ۽ هڪ رسائي پوائنٽ قائم ڪري ٿو ساڳئي نالي سان اسان جي گهر ۾، هو آساني سان صارف جي سندن کي روڪي سگهي ٿو (اهو نه وساريو ته اهي واضح متن ۾ منتقل ڪيا ويا آهن). ۽ جڏهن هڪ سرٽيفڪيٽ استعمال ڪيو ويندو آهي، دشمن پنهنجي لاگن ۾ صرف اسان جي جعلي صارف جو نالو ڏسندو - مهمان يا ڪلائنٽ ۽ هڪ قسم جي غلطي - نامعلوم CA سرٽيفڪيٽ
macOS بابت ٿورو وڌيڪعام طور تي macOS تي، سسٽم کي ٻيهر انسٽال ڪرڻ انٽرنيٽ ذريعي ڪيو ويندو آهي. بحالي واري موڊ ۾، Mac کي وائي فائي سان ڳنڍيل هجڻ گهرجي، ۽ نه ئي اسان جو ڪارپوريٽ وائي فائي ۽ نه ئي مهمان نيٽ ورڪ هتي ڪم ڪندو. ذاتي طور تي، مون هڪ ٻيو نيٽ ورڪ وڌايو، معمولي WPA2-PSK، لڪايو، صرف ٽيڪنيڪل آپريشن لاء. يا توهان اڃا به ٺاهي سگهو ٿا بوٽبل USB فليش ڊرائيو سسٽم سان اڳ ۾. پر جيڪڏهن پوکي 2015 کان پوء آهي، توهان کي اڃا تائين هن فليش ڊرائيو لاء اڊاپٽر ڳولڻ جي ضرورت پوندي)
جو ذريعو: www.habr.com