ආයතනික WiFi සංවිධානය කිරීමේ සමහර උදාහරණ දැනටමත් විස්තර කර ඇත. මෙන්න මම එවැනි විසඳුමක් ක්රියාත්මක කළ ආකාරය සහ විවිධ උපාංග සම්බන්ධ කිරීමේදී මා මුහුණ දුන් ගැටළු විස්තර කරමි. අපි ස්ථාපිත පරිශීලකයන් සමඟ පවතින LDAP භාවිතා කරන්නෙමු, FreeRadius ස්ථාපනය කර Ubnt පාලකය මත WPA2-Enterprise වින්යාස කරන්නෙමු. සෑම දෙයක්ම සරල බව පෙනේ. අපි බලමු…
EAP ක්රම ගැන ටිකක්
කාර්යය සමඟ ඉදිරියට යාමට පෙර, අපගේ විසඳුමේදී අප භාවිතා කරන්නේ කුමන සත්යාපන ක්රමයද යන්න තීරණය කළ යුතුය.
විකිපීඩියාවෙන්:
EAP යනු රැහැන් රහිත ජාල සහ ලක්ෂ්ය සිට ලක්ෂ්ය සම්බන්ධතා වල බොහෝ විට භාවිතා වන සත්යාපන රාමුවකි. ආකෘතිය මුලින්ම RFC 3748 හි විස්තර කරන ලද අතර RFC 5247 හි යාවත්කාලීන කරන ලදී.
EAP මඟින් සත්යාපන ක්රමයක් තෝරා ගැනීමට, යතුරු මාරු කිරීමට සහ එම යතුරු EAP ක්රම ලෙස හඳුන්වන ප්ලගීන මගින් සැකසීමට භාවිතා කරයි. EAP සමඟම අර්ථ දක්වා ඇති සහ තනි වෙළෙන්දන් විසින් නිකුත් කරන ලද බොහෝ EAP ක්රම තිබේ. EAP සබැඳි ස්තරය නිර්වචනය නොකරයි, එය පණිවිඩ ආකෘතිය පමණක් අර්ථ දක්වයි. EAP භාවිතා කරන සෑම ප්රොටෝකෝලයකම තමන්ගේම EAP පණිවිඩ සංග්රහ කිරීමේ ප්රොටෝකෝලය ඇත.
ක්රම තමා:
- LEAP යනු CISCO විසින් සංවර්ධනය කරන ලද හිමිකාර ප්රොටෝකෝලයකි. දුර්වලතා සොයා ගන්නා ලදී. දැනට එය භාවිතා කිරීම නිර්දේශ කර නැත
- EAP-TLS රැහැන් රහිත වෙළෙන්දන් අතර හොඳින් සහාය දක්වයි. එය SSL ප්රමිතීන්ට අනුප්රාප්තිකයා වන බැවින් එය ආරක්ෂිත ප්රොටෝකෝලයකි. සේවාලාභියා පිහිටුවීම තරමක් සංකීර්ණ වේ. මුරපදයට අමතරව ඔබට සේවාදායක සහතිකයක් අවශ්ය වේ. බොහෝ පද්ධති මත සහය දක්වයි
- EAP-TTLS - බොහෝ පද්ධතිවල පුළුල් ලෙස සහය දක්වයි, සත්යාපන සේවාදායකයේ පමණක් PKI සහතික භාවිතයෙන් හොඳ ආරක්ෂාවක් සපයයි
- EAP-MD5 තවත් විවෘත සම්මතයකි. අවම ආරක්ෂාවක් සපයයි. අවදානමට ලක්විය හැකි, අන්යෝන්ය සත්යාපනයට සහ යතුරු උත්පාදනයට සහය නොදක්වයි
- EAP-IKEv2 - අන්තර්ජාල යතුරු හුවමාරු ප්රොටෝකෝලය අනුවාදය 2 මත පදනම් වේ. සේවාලාභියා සහ සේවාදායකය අතර අන්යෝන්ය සත්යාපනය සහ සැසි යතුරු පිහිටුවීම සපයයි.
- PEAP යනු විවෘත ප්රමිතියක් ලෙස CISCO, Microsoft සහ RSA Security අතර ඒකාබද්ධ විසඳුමකි. නිෂ්පාදනවල පුළුල් ලෙස ලබා ගත හැකි, ඉතා හොඳ ආරක්ෂාවක් සපයයි. EAP-TTLS හා සමාන, සේවාදායක පාර්ශවීය සහතිකයක් පමණක් අවශ්ය වේ
- PEAPv0/EAP-MSCHAPv2 - EAP-TLS ට පසුව, මෙය ලෝකයේ බහුලව භාවිතා වන දෙවන ප්රමිතියයි. Microsoft, Cisco, Apple, Linux හි භාවිතා කරන ලද සේවාදායක-සේවාදායක සම්බන්ධතාව
- PEAPv1/EAP-GTC - PEAPv0/EAP-MSCHAPv2 සඳහා විකල්පයක් ලෙස Cisco විසින් නිර්මාණය කරන ලදී. කිසිම ආකාරයකින් සත්යාපන දත්ත ආරක්ෂා නොකරයි. Windows OS මත සහය නොදක්වයි
- EAP-FAST යනු LEAP හි අඩුපාඩු නිවැරදි කිරීම සඳහා Cisco විසින් සකස් කරන ලද තාක්ෂණයකි. ආරක්ෂිත ප්රවේශ අක්තපත්ර (PAC) භාවිත කරයි. සම්පූර්ණයෙන්ම නිම නොකළ
මෙම විවිධත්වය අතරින්, තේරීම තවමත් විශිෂ්ට නොවේ. සත්යාපන ක්රමය අවශ්ය විය: හොඳ ආරක්ෂාවක්, සියලුම උපාංග සඳහා සහාය (Windows 10, macOS, Linux, Android, iOS) සහ, ඇත්ත වශයෙන්ම, සරල වන තරමට වඩා හොඳය. එබැවින්, තේරීම PAP ප්රොටෝකෝලය සමඟ එක්ව EAP-TTLS මත වැටුණි.
ප්රශ්නය මතු විය හැකිය - PAP භාවිතා කරන්නේ ඇයි? ඔහු මුරපද පැහැදිලි ලෙස සම්ප්රේෂණය කරන නිසාද?
ඔව් ඒක නිවැරදියි. FreeRadius සහ FreeIPA අතර සන්නිවේදනය මේ ආකාරයෙන් සිදුවනු ඇත. දෝශ නිරාකරණ මාදිලියේදී, ඔබට පරිශීලක නාමය සහ මුරපදය යවන ආකාරය නිරීක්ෂණය කළ හැක. ඔව්, ඔවුන්ට යන්න දෙන්න, FreeRadius සේවාදායකයට ප්රවේශය ඇත්තේ ඔබට පමණි.
EAP-TTLS හි වැඩ ගැන ඔබට වැඩිදුර කියවිය හැකිය
FreeRADIUS
FreeRadius CentOS 7.6 මත ඉහල නංවනු ඇත. මෙහි සංකීර්ණ කිසිවක් නොමැත, අපි එය සුපුරුදු ආකාරයෙන් සකස් කරමු.
yum install freeradius freeradius-utils freeradius-ldap -y3.0.13 අනුවාදය පැකේජ වලින් ස්ථාපනය කර ඇත. දෙවැන්න ගත හැකිය
ඊට පස්සේ, FreeRadius දැනටමත් වැඩ කරනවා. ඔබට /etc/raddb/users හි පේළිය ඉවත් කළ හැක
steve Cleartext-Password := "testing"දෝශ නිරාකරණ ආකාරයෙන් සේවාදායකයට දියත් කරන්න
freeradius -Xසහ localhost වෙතින් පරීක්ෂණ සම්බන්ධතාවයක් සාදන්න
radtest steve testing 127.0.0.1 1812 testing123පිළිතුරක් ලැබුණා ප්රවේශය-පිළිගන්න Id 115 127.0.0.1:1812 සිට 127.0.0.1:56081 දිග 20 දක්වා, ඒ කියන්නේ හැම දෙයක්ම හරි. ඉදිරියට යන්න.
අපි මොඩියුලය සම්බන්ධ කරමු ldap.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldapඅපි එය වහාම වෙනස් කරන්නෙමු. FreeIPA වෙත ප්රවේශ වීමට අපට FreeRadius අවශ්යයි
mods-enabled/ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...අරය සේවාදායකය නැවත ආරම්භ කර LDAP පරිශීලකයින්ගේ සමමුහුර්තකරණය පරීක්ෂා කරන්න:
radtest user_ldap password_ldap localhost 1812 testing123
සංස්කරණය කිරීම mods-enabled/eap
මෙහිදී අපි eap අවස්ථා දෙකක් එකතු කරමු. ඒවා වෙනස් වන්නේ සහතික සහ යතුරු වලින් පමණි. මෙය එසේ වන්නේ මන්දැයි මම පහත පැහැදිලි කරමි.
mods-enabled/eap
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}ඊළඟට අපි සංස්කරණය කරන්නෙමු site-enabled/default. මම අවසර දීම සහ සත්යාපනය කරන කොටස් ගැන උනන්දු වෙමි.
site-enabled/default
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}බලයලත් කොටසේදී, අපට අවශ්ය නොවන සියලුම මොඩියුල අපි ඉවත් කරමු. අපි ldap පමණක් ඉතිරි කරමු. පරිශීලක නාමයෙන් සේවාදායක සත්යාපනය එක් කරන්න. ඒ නිසා තමයි අපි ඉහත eap අවස්ථා දෙකක් එකතු කළේ.
බහු EAPකාරණය නම්, සමහර උපාංග සම්බන්ධ කිරීමේදී, අපි පද්ධති සහතික භාවිතා කර වසම නියම කරන්නෙමු. අපට විශ්වාසදායක සහතික අධිකාරියකින් සහතිකයක් සහ යතුරක් ඇත. පුද්ගලිකව, මගේ මතය අනුව, එවැනි සම්බන්ධතා ක්රියා පටිපාටියක් එක් එක් උපාංගය මත ස්වයං අත්සන් සහතිකයක් විසි කිරීමට වඩා පහසුය. නමුත් ස්වයං අත්සන් කළ සහතික නොමැතිව වුවද එය තවමත් සාර්ථක වූයේ නැත. Samsung උපාංග සහ Android =< 6 අනුවාද පද්ධති සහතික භාවිතා කළ නොහැක. එමනිසා, අපි ඔවුන් සඳහා ස්වයං-අත්සන් කළ සහතික සහිත වෙනම ආගන්තුක අවස්ථාවක් සාදන්නෙමු. අනෙකුත් සියලුම උපාංග සඳහා, අපි විශ්වාසදායක සහතිකයක් සහිත eap-Client භාවිතා කරන්නෙමු. උපාංගය සම්බන්ධ වූ විට පරිශීලක නාමය නිර්නාමික ක්ෂේත්රය මගින් තීරණය වේ. අගයන් 3කට පමණක් අවසර ඇත: අමුත්තා, සේවාලාභියා සහ හිස් ක්ෂේත්රයක්. අනෙක් සියල්ල ඉවත දමනු ලැබේ. එය දේශපාලකයන් තුළ වින්යාසගත වනු ඇත. මම ටිකක් පසුව උදාහරණයක් දෙන්නම්.
බලයලත් කොටස් සංස්කරණය කර සත්යාපනය කරමු site-enabled/inner-tunnel
site-enabled/inner-tunnel
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}ඊළඟට, ඔබ නිර්නාමික පිවිසුම සඳහා භාවිතා කළ හැකි නම් ප්රතිපත්තිවල සඳහන් කළ යුතුය. සංස්කරණය කරනවා policy.d/filter.
ඔබ මෙයට සමාන රේඛා සොයා ගත යුතුය:
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}සහ පහත elsif හි අපේක්ෂිත අගයන් එකතු කරන්න:
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}දැන් අපි නාමාවලියට යා යුතුයි සහතික. අප සතුව දැනටමත් ඇති සහ eap-guest සඳහා ස්වයං-අත්සන් කළ සහතික උත්පාදනය කිරීමට අවශ්ය විශ්වාසදායී සහතික අධිකාරියකින් යතුර සහ සහතිකය මෙහිදී ඔබ විසින් තැබිය යුතුය.
ගොනුවේ පරාමිතීන් වෙනස් කරන්න ca.cnf.
ca.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"අපි ගොනුවේ එකම අගයන් ලියන්නෙමු server.cnf. අපි වෙනස් වෙනවා විතරයි
පොදු නම:
server.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"අපි නිර්මාණය කරන්නේ:
makeසූදානම්. ලැබුනා server.crt и server.key අපි දැනටමත් eap-guest හි ඉහත ලියාපදිංචි වී ඇත.
අවසාන වශයෙන්, අපි අපගේ ප්රවේශ ස්ථාන ගොනුවට එක් කරමු client.conf. මට ඒවායින් 7 ක් ඇත, එක් එක් ලක්ෂ්යය වෙන වෙනම එකතු නොකිරීමට, අපි ඒවා පිහිටා ඇති ජාලය පමණක් ලියන්නෙමු (මගේ ප්රවේශ ස්ථාන වෙනම VLAN එකක ඇත).
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}Ubiquiti පාලකය
අපි පාලකය මත වෙනම ජාලයක් ඔසවන්නෙමු. එය 192.168.2.0/24 වීමට ඉඩ දෙන්න
සැකසීම් -> පැතිකඩ වෙත යන්න. අපි අලුත් එකක් සාදන්නෙමු:
අපි අරය සේවාදායකයේ ලිපිනය සහ වරාය සහ ගොනුවේ ලියා ඇති මුරපදය ලියන්නෙමු clients.conf:
නව රැහැන් රහිත ජාල නාමයක් සාදන්න. සත්යාපන ක්රමය ලෙස WPA-EAP (Enterprise) තෝරන්න සහ සාදන ලද අරය පැතිකඩ සඳහන් කරන්න:
අපි සියල්ල සුරකිමු, අයදුම් කර ඉදිරියට යන්න.
ගනුදෙනුකරුවන් පිහිටුවීම
වඩාත්ම දුෂ්කර දේ සමඟ ආරම්භ කරමු!
වින්ඩෝස් 10
වසම හරහා ආයතනික WiFi වෙත සම්බන්ධ වන්නේ කෙසේදැයි වින්ඩෝස් තවමත් නොදන්නා බව දුෂ්කරතාවයට පත්වේ. එබැවින්, අපි අපගේ සහතිකය විශ්වාසදායී සහතික ගබඩාවට අතින් උඩුගත කළ යුතුය. මෙහිදී ඔබට ස්වයං අත්සන් සහ සහතික කිරීමේ අධිකාරියෙන් දෙකම භාවිතා කළ හැකිය. මම දෙවෙනි එක පාවිච්චි කරන්නම්.
ඊළඟට, ඔබ නව සම්බන්ධතාවයක් නිර්මාණය කළ යුතුය. මෙය සිදු කිරීම සඳහා, ජාල සහ අන්තර්ජාල සැකසුම් වෙත යන්න -> ජාල සහ බෙදාගැනීමේ මධ්යස්ථානය -> නව සම්බන්ධතාවයක් හෝ ජාලයක් සාදන්න සහ වින්යාස කරන්න:
ජාලයේ නම හස්තීයව ඇතුළත් කර ආරක්ෂක වර්ගය වෙනස් කරන්න. අපි ක්ලික් කළ පසු සම්බන්ධතා සැකසුම් වෙනස් කරන්න සහ ආරක්ෂක පටිත්තෙහි, ජාල සත්යාපනය තෝරන්න - EAP-TTLS.
අපි පරාමිතීන් වෙත ගොස්, සත්යාපනයේ රහස්යභාවය නියම කරමු - සේවාදායකයා. විශ්වාසදායක සහතික කිරීමේ අධිකාරියක් ලෙස, අපි එකතු කළ සහතිකය තෝරන්න, "සේවාදායකයට අවසර දිය නොහැකි නම් පරිශීලකයාට ආරාධනාවක් නිකුත් නොකරන්න" යන කොටුව සලකුණු කර සත්යාපන ක්රමය තෝරන්න - සංකේතනය නොකළ මුරපදය (PAP).
ඊළඟට, උසස් සැකසුම් වෙත ගොස්, "සත්යාපන මාදිලිය සඳහන් කරන්න" මත ටික් එකක් දමන්න. "පරිශීලක සත්යාපනය" තෝරන්න සහ ක්ලික් කරන්න අක්තපත්ර සුරකින්න. මෙහිදී ඔබට username_ldap සහ password_ldap ඇතුළත් කිරීමට අවශ්ය වනු ඇත
අපි සියල්ල සුරකිමු, අයදුම් කරන්න, වසා දමන්න. ඔබට නව ජාලයකට සම්බන්ධ විය හැක.
ලිනක්ස්
මම Ubuntu 18.04, 18.10, Fedora 29, 30 මත පරීක්ෂා කළා.
පළමුව, අපි අපගේ සහතිකය බාගත කරමු. පද්ධති සහතික භාවිතා කළ හැකිද සහ එවැනි වෙළඳසැලක් තිබේද යන්න මම ලිනක්ස් හි සොයා ගත්තේ නැත.
අපි වසම හරහා සම්බන්ධ වන්නෙමු. එබැවින්, අපගේ සහතිකය මිලදී ගත් සහතික කිරීමේ අධිකාරියෙන් සහතිකයක් අවශ්ය වේ.
සියලුම සම්බන්ධතා එක් කවුළුවකින් සාදා ඇත. අපගේ ජාලය තෝරන්න:
නිර්නාමික-සේවාදායකයා
වසම - සහතිකය නිකුත් කරන වසම
ඇන්ඩ්රොයිඩ්
සැම්සුන් නොවන
7 වන අනුවාදයේ සිට, WiFi සම්බන්ධ කිරීමේදී, වසම පමණක් සඳහන් කිරීමෙන් ඔබට පද්ධති සහතික භාවිතා කළ හැකිය:
වසම - සහතිකය නිකුත් කරන වසම
නිර්නාමික-සේවාදායකයා
සැම්සුන්
මා ඉහත ලියා ඇති පරිදි, Samsung උපාංග WiFi වෙත සම්බන්ධ වන විට පද්ධති සහතික භාවිතා කරන්නේ කෙසේදැයි නොදන්නා අතර, වසමක් හරහා සම්බන්ධ වීමට ඔවුන්ට හැකියාවක් නැත. එබැවින්, ඔබ විසින් සහතික කිරීමේ අධිකාරියේ මූල සහතිකය අතින් එකතු කළ යුතුය (ca.pem, අපි එය රේඩියස් සේවාදායකයේ ගන්නෙමු). මෙන්න ස්වයං-අත්සන් භාවිතා කරනු ඇත.
සහතිකය ඔබගේ උපාංගයට බාගත කර එය ස්ථාපනය කරන්න.
සහතිකයක් ස්ථාපනය කිරීම
මෙම අවස්ථාවේදී, එය දැනටමත් සකසා නොමැති නම්, ඔබට තිර අගුළු හැරීමේ රටාවක්, PIN කේතයක් හෝ මුරපදයක් සැකසීමට අවශ්ය වනු ඇත:
සහතිකයක් ස්ථාපනය කිරීමේ සංකීර්ණ අනුවාදයක් මම පෙන්වුවෙමි. බොහෝ උපාංගවල, බාගත කළ සහතිකය මත ක්ලික් කරන්න.
සහතිකය ස්ථාපනය කර ඇති විට, ඔබට සම්බන්ධතාවයට යා හැකිය:
සහතිකය - ස්ථාපනය කර ඇති එක සඳහන් කරන්න
නිර්නාමික පරිශීලක - අමුත්තා
macOS
කොටුවෙන් පිටත Apple උපාංග EAP-TLS වෙත පමණක් සම්බන්ධ විය හැක, නමුත් ඔබට තවමත් ඔවුන් වෙත සහතිකයක් විසි කළ යුතුය. වෙනත් සම්බන්ධතා ක්රමයක් නියම කිරීම සඳහා, ඔබ Apple Configurator 2 භාවිතා කළ යුතුය. ඒ අනුව, ඔබ මුලින්ම එය ඔබගේ Mac වෙත බාගත කර, නව පැතිකඩක් සාදා අවශ්ය සියලුම WiFi සැකසුම් එකතු කළ යුතුය.
ඇපල් වින්යාසය
ඔබගේ ජාල නාමය මෙහි ඇතුලත් කරන්න
ආරක්ෂක වර්ගය - WPA2 ව්යවසාය
පිළිගත් EAP වර්ග - TTLS
පරිශීලක නාමය සහ මුරපදය - හිස්ව තබන්න
අභ්යන්තර සත්යාපනය - PAP
බාහිර අනන්යතාවය-සේවාදායකයා
විශ්වාස පටිත්ත. මෙහිදී අපි අපගේ වසම සඳහන් කරමු
සෑම. පැතිකඩ සුරැකීමට, අත්සන් කිරීමට සහ උපාංග වෙත බෙදා හැරීමට හැකිය
පැතිකඩ සූදානම් වූ පසු, ඔබ එය පොපි වෙත බාගත කර එය ස්ථාපනය කළ යුතුය. ස්ථාපන ක්රියාවලියේදී, ඔබට පරිශීලකයාගේ usernmae_ldap සහ password_ldap සඳහන් කිරීමට අවශ්ය වනු ඇත:
, iOS
මෙම ක්රියාවලිය macOS හා සමාන වේ. ඔබට පැතිකඩක් භාවිතා කිරීමට අවශ්ය වේ (ඔබට macOS සඳහා සමාන එකක් භාවිතා කළ හැකිය. Apple Configurator හි පැතිකඩක් සාදා ගන්නේ කෙසේද, ඉහත බලන්න).
පැතිකඩ බාගන්න, ස්ථාපනය කරන්න, අක්තපත්ර ඇතුළු කරන්න, සම්බන්ධ කරන්න:
එච්චරයි. අපි Radius සේවාදායකයක් පිහිටුවා, එය FreeIPA සමඟ සමමුහුර්ත කර, Ubiquiti AP වලට WPA2-EAP භාවිතා කරන ලෙස පැවසුවෙමු.
හැකි ප්රශ්න
බී: සේවකයෙකුට පැතිකඩක්/සහතිකයක් මාරු කරන්නේ කෙසේද?
ගැන: මම සියලුම සහතික/පැතිකඩ ftp මත වෙබ් ප්රවේශය සමඟ ගබඩා කරමි. ftp හැර, වේග සීමාවක් සහ අන්තර්ජාලයට පමණක් ප්රවේශය සහිත ආගන්තුක ජාලයක් ඉහළ නැංවීය.
සත්යාපනය දින 2 ක් පවතිනු ඇත, ඉන් පසුව එය නැවත සකසනු ලබන අතර සේවාදායකයා අන්තර්ජාලය නොමැතිව ඉතිරි වේ. එම. සේවකයෙකුට WiFi වෙත සම්බන්ධ වීමට අවශ්ය වූ විට, ඔහු මුලින්ම ආගන්තුක ජාලයට සම්බන්ධ වී, FTP වෙත ප්රවේශ වී, ඔහුට අවශ්ය සහතිකය හෝ පැතිකඩ බාගත කර, එය ස්ථාපනය කර, පසුව ආයතනික ජාලයට සම්බන්ධ විය හැක.
බී: MSCHAPv2 සමඟ යෝජනා ක්රමයක් භාවිතා නොකරන්නේ මන්ද? එය ආරක්ෂිතයි!
ගැන: පළමුව, එවැනි යෝජනා ක්රමයක් NPS (Windows Network Policy System) මත හොඳින් ක්රියා කරයි, අපගේ ක්රියාත්මක කිරීමේදී අතිරේකව LDAP (FreeIpa) වින්යාස කිරීම සහ සේවාදායකයේ මුරපද හැෂ් ගබඩා කිරීම අවශ්ය වේ. එකතු කරන්න. සැකසුම් සෑදීම සුදුසු නොවේ, මන්ද. මෙය අල්ට්රා සවුන්ඩ් සමමුහුර්ත කිරීමේ විවිධ ගැටළු වලට හේතු විය හැක. දෙවනුව, හෑෂ් MD4 වන අතර, එය වැඩි ආරක්ෂාවක් එකතු නොකරයි.
බී: Mac ලිපින භාවිතයෙන් උපාංග අනුමත කළ හැකිද?
ගැන: නැත, මෙය ආරක්ෂිත නොවේ, ප්රහාරකයෙකුට MAC ලිපින වංචා කළ හැකි අතර, ඊටත් වඩා, MAC ලිපින මගින් අවසර දීම බොහෝ උපාංගවල සහාය නොදක්වයි
බී: සාමාන්යයෙන් මෙම සියලුම සහතික භාවිතා කිරීමට කුමක් ද? ඔවුන් නොමැතිව ඔබට එකතු විය හැකිද?
ගැන: සේවාදායකයට බලය පැවරීමට සහතික භාවිතා වේ. එම. සම්බන්ධ වන විට, උපාංගය එය විශ්වාස කළ හැකි සේවාදායකයක් ද නැද්ද යන්න පරීක්ෂා කරයි. එය එසේ නම්, සත්යාපනය සිදු වේ, එසේ නොවේ නම්, සම්බන්ධතාවය වසා ඇත. ඔබට සහතික නොමැතිව සම්බන්ධ විය හැක, නමුත් ප්රහාරකයෙකු හෝ අසල්වැසියෙකු අපගේ නිවසේ අරය සේවාදායකයක් සහ ප්රවේශ ලක්ෂ්යයක් සකසා ඇත්නම්, ඔහුට පරිශීලකයාගේ අක්තපත්ර පහසුවෙන් බාධා කළ හැකිය (ඒවා පැහැදිලි පෙළකින් සම්ප්රේෂණය වන බව අමතක නොකරන්න). සහතිකයක් භාවිතා කරන විට, සතුරා ඔහුගේ ලොග් වල දකින්නේ අපගේ ව්යාජ පරිශීලක නාමය - අමුත්තා හෝ සේවාදායකයා සහ වර්ගය දෝෂයක් - නොදන්නා CA සහතිකය
macOS ගැන තව ටිකක්සාමාන්යයෙන්, macOS මත, පද්ධතිය නැවත ස්ථාපනය කිරීම අන්තර්ජාලය හරහා සිදු කෙරේ. ප්රතිසාධන ප්රකාරයේදී, Mac WiFi වෙත සම්බන්ධ විය යුතු අතර, අපගේ ආයතනික WiFi හෝ ආගන්තුක ජාලය මෙහි ක්රියා නොකරනු ඇත. පුද්ගලිකව, මම වෙනත් ජාලයක් ස්ථාපනය කළෙමි, සුපුරුදු WPA2-PSK, සැඟවුණු, තාක්ෂණික මෙහෙයුම් සඳහා පමණි. නැතහොත් ඔබට කල්තියා පද්ධතිය සමඟ ආරම්භ කළ හැකි USB ෆ්ලෑෂ් ධාවකය සෑදිය හැකිය. නමුත් ඔබේ මැක් 2015 න් පසු නම්, ඔබට මෙම ෆ්ලෑෂ් ඩ්රයිව් සඳහා ඇඩැප්ටරයක් සොයා ගත යුතුය)
මූලාශ්රය: www.habr.com