O nisi o faʻataʻitaʻiga o le faʻatulagaina o WiFi kamupani ua uma ona faʻamatalaina. O iinei o le a ou faʻamatalaina pe na faapefea ona ou faʻatinoina sea fofo ma faʻafitauli na ou feagai pe a faʻafesoʻotaʻi i masini eseese. O le a matou faʻaogaina le LDAP o loʻo i ai nei ma tagata faʻapipiʻi, faʻapipiʻi FreeRadius ma faʻapipiʻi le WPA2-Enterprise i luga o le Ubnt controller. E foliga faigofie mea uma. Sei o tatou vaai…
Se mea itiiti e uiga i auala EAP
Ae tatou te lei amataina le galuega, e tatau ona tatou filifili po o le a le auala faʻamaonia o le a tatou faʻaogaina i la tatou fofo.
Mai Wikipedia:
O le EAP o se fa'avae fa'amaonia e masani ona fa'aogaina i feso'ota'iga uaealesi ma feso'ota'iga fa'asino-i-itu. O le faatulagaga na muamua faamatalaina i le RFC 3748 ma toe faafou i le RFC 5247.
E fa'aoga le EAP e filifili ai se auala fa'amaonia, fa'aliliu ki, ma fa'agasolo na ki e ala i fa'apipi'i e ta'ua o metotia EAP. E tele auala EAP, e faʻamatalaina uma i le EAP lava ia ma faʻasalalauga e tagata faʻatau taʻitasi. E le faʻamalamalamaina e le EAP le faʻapipiʻi fesoʻotaʻiga, naʻo le faʻamalamalamaina o le faʻasologa o feʻau. O fa'atonuga ta'itasi e fa'aogaina le EAP e iai lana lava fa'asalalauga fa'asalalau fe'au a le EAP.
O metotia lava ia:
- LEAP ose faiga fa'apitoa na atia'e e CISCO. Fa'aletonu ua maua. Le taimi nei e le fautuaina mo le faʻaaogaina
- O le EAP-TLS o lo'o lagolagoina lelei i le au fa'atau uaea. Ose fa'amautu fa'amautu aua o le sui lea i fa'amaumauga SSL. O le setiina o le kalani e fai si lavelave. E te mana'omia se tusipasi a le tagata o tausia e fa'aopoopo i le fa'aupuga. Lagolago i le tele o faiga
- EAP-TTLS - lagolagoina lautele i luga o le tele o faiga, e ofoina atu le saogalemu lelei e faʻaaoga ai tusi faamaonia PKI naʻo luga ole server faʻamaonia.
- EAP-MD5 o se isi tulaga tatala. E ofoina atu le puipuiga itiiti. Fa'aletonu, e le lagolagoina le fa'amaoni fa'atasi ma le fa'atupuina autu
- EAP-IKEv2 - fa'avae i luga ole Initaneti Key Exchange Protocol version 2. Tu'uina atu fa'amaoni fa'atasi ma fa'avae fa'atutuga autu ile va ole kalani ma le server.
- PEAP o se fofo faʻatasi i le va o le CISCO, Microsoft ma le RSA Security o se tulaga tatala. E maua lautele i oloa, e maua ai le saogalemu lelei. E tutusa ma le EAP-TTLS, e mana'omia na'o se tusipasi-server
- PEAPv0/EAP-MSCHAPv2 - A maeʻa le EAP-TLS, o le lona lua lea e faʻaaogaina lautele i le lalolagi. Fa'aoga le feso'ota'iga a le tagata fa'atau-server i Microsoft, Cisco, Apple, Linux
- PEAPv1/EAP-GTC - Fausia e Cisco e fai ma sui i le PEAPv0/EAP-MSCHAPv2. E le puipuia fa'amaumauga fa'amaonia i so'o se auala. Le lagolagoina ile Windows OS
- O le EAP-FAST o se metotia na atiaʻe e Cisco e faʻasaʻo ai faʻaletonu ole LEAP. Fa'aaogā Fa'amatalaga Puipuia Avanoa (PAC). E le'i mae'a atoa
Mai nei ituaiga uma, o le filifiliga e le o sili. Le auala faʻamaonia e manaʻomia: saogalemu lelei, lagolago i masini uma (Windows 10, macOS, Linux, Android, iOS) ma, o le mea moni, o le faigofie o le sili atu. O le mea lea, o le filifiliga na pa'ū i luga o le EAP-TTLS faʻatasi ma le PAP protocol.
Atonu e tula'i mai le fesili - Aisea e fa'aaoga ai le PAP? A uma mea uma, e tuʻuina atu upu faʻamaonia i tusitusiga manino?
Ioe e sa'o. Feso'ota'iga i le va o FreeRadius ma FreeIPA o le a faia fa'apenei. I le debug mode, e mafai ona e siaki pe faʻafefea ona lafo le igoa ole igoa ma le upu faʻaulu. Ioe, ma tuʻu i latou e o, naʻo oe e maua le avanoa i le FreeRadius server.
E mafai ona e faitau atili i le auala e galue ai le EAP-TTLS
FreeRADIUS
Matou te faʻaleleia FreeRadius i CentOS 7.6. E leai se mea faigata iinei, matou te faʻapipiʻiina i le auala masani.
yum install freeradius freeradius-utils freeradius-ldap -y
O afifi, fa'apipi'i le version 3.0.13. Ole mea mulimuli e mafai ona ave ile
A maeʻa lenei, FreeRadius ua uma ona galue. E mafai ona e tatalaina le laina i totonu /etc/raddb/users
steve Cleartext-Password := "testing"
Fa'aola i totonu o le 'au'aunaga i le fa'aogaina o le debug mode
freeradius -X
Ma fai se suʻega suʻega mai localhost
radtest steve testing 127.0.0.1 1812 testing123
Sa matou mauaina se tali Maua Avanoa-Talia Id 115 mai le 127.0.0.1:1812 i le 127.0.0.1:56081 umi 20, o lona uiga e lelei mea uma. Fai loa.
Fa'afeso'ota'i le module ldap.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap
Ma o le a tatou suia loa. Matou te mana'omia FreeRadius ina ia mafai ona maua le FreeIPA
mods-enabled/ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...
Toe amata le server radius ma siaki le fa'amaopoopoina o tagata fa'aoga LDAP:
radtest user_ldap password_ldap localhost 1812 testing123
Fa'asa'o eap in mods-mafai/eap
O iinei o le a matou faʻaopoopoina ai ni faʻataʻitaʻiga se lua o le eap. O le a eseese i latou i tusi faamaonia ma ki. O le a ou faʻamatalaina pe aisea e moni ai lenei mea i lalo.
mods-mafai/eap
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
Ona sosoo ai lea ma le faasa'oina site-enabled/default. Ou te fiafia i vaega fa'atagaina ma fa'amaoni.
site-enabled/default
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}
I le vaega faʻatagaina matou te aveese uma modules matou te le manaʻomia. Matou te tuua na o ldap. Fa'aopoopo le fa'amaoniga o tagata o tausia ile igoa ole igoa. O le mea lea na matou faʻaopoopoina ai ni faʻataʻitaʻiga se lua o le eap i luga.
Tele EAPO le mea moni pe a faʻafesoʻotaʻi nisi masini o le a matou faʻaogaina tusi faʻamaonia ma faʻamaonia le vaega. E iai la matou tusi pasi ma le ki mai se pulega fa'amaonia. I le tagata lava ia, i loʻu manatu, o lenei faiga fesoʻotaʻiga e sili atu le faigofie nai lo le togiina o se tusi pasi saini i luga o masini taʻitasi. Ae tusa lava pe leai ni tusi pasi na sainia e lei mafai lava ona alu. Samsung masini ma Android =<6 lomiga e le iloa pe faʻafefea ona faʻaoga tusi faʻamaonia. O le mea lea, matou te faia se faʻataʻitaʻiga ese o le eap-mālō mo i latou faʻatasi ai ma tusi pasi saini. Mo isi masini uma o le a matou fa'aogaina eap-client ma se tusi fa'atuatuaina. User-Igoa e fuafuaina e le Anonymous fanua pe a faʻafesoʻotaʻi le masini. E na'o le 3 tau e fa'atagaina: Tagata asiasi, Tagata fa'atau ma se fanua avanoa. O le vaega o totoe e lafoai uma. E mafai ona fa'atulagaina i faiga fa'avae. O le a ou tuuina atu se faataitaiga i se taimi mulimuli ane.
Se'i tatou fa'asa'o le fa'atagaina ma fa'amaonia vaega i totonu site-enabled/inner-tunnel
site-enabled/inner-tunnel
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}
O le isi, e tatau ona e faʻamaoti i totonu o faiga faʻavae poʻo fea igoa e mafai ona faʻaoga mo le saini e le taʻua. Fa'atonu policy.d/filter.
E mana'omia ona e su'e laina e pei o lenei:
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}
Ma lalo ifo i le elsif faʻaopoopo mea taua talafeagai:
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}
O lea la e tatau ona tatou agai i le lisi potu. O iinei tatou te manaʻomia ai le tuʻuina o le ki ma le tusi faamaonia mai se pulega faʻamaonia faʻatuatuaina, lea ua uma ona tatou maua, ma e manaʻomia le faʻatupuina o tusi pasi saini mo le eap-guest.
Suia fa'amaufa'ailoga i le faila ca.cnf.
ca.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"
Matou te tusia tutusa tutusa i le faila server.cnf. E na ona tatou sui
igoa masani:
server.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"
Matou te fatuina:
make
Sauni. Mauaina server.crt и server.key Ua uma ona matou lesitala i luga i le eap-guest.
Ma le mea mulimuli, tatou faʻaopoopo a tatou avanoa avanoa i le faila client.conf. E i ai a'u 7. Ina ia aua nei fa'aopoopo vaega ta'itasi, o le a matou resitalaina na'o le feso'ota'iga o lo'o i ai (o a'u avanoa avanoa o lo'o i se VLAN ese).
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}
Ubiquiti pule
Matou te siiina se upega eseese i luga o le pule. Ia 192.168.2.0/24
Alu i tulaga -> talaaga. Tatou faia se mea fou:
Matou te tusia i lalo le tuatusi ma le taulaga o le radius server ma le upu faʻamaonia na tusia i le faila clients.conf:
Fausia se igoa feso'ota'iga uaealesi fou. Filifili le WPA-EAP (Enterprise) e fai ma auala faʻamaonia ma faʻamaonia le faʻamatalaga radius na faia:
Matou te faʻasaoina mea uma, faʻaoga ma faʻaauau.
Fa'atulaga tagata fa'atau
Tatou amata i le vaega sili ona faigata!
pupuni 10
O le faigata e sau i lalo i le mea moni e le o iloa e Windows pe faʻafefea ona faʻafesoʻotaʻi i le WiFi kamupani i luga o se vaega. O le mea lea, e tatau ona matou lafoina ma le lima a matou tusi faamaonia i le faleoloa tusi faamaonia faatuatuaina. O iinei e mafai ona e fa'aogaina ai se saini a le tagata lava ia po'o se tasi mai se pulega fa'amaonia. O le a ou faʻaaogaina le lona lua.
O le isi e mana'omia le faia o se feso'ota'iga fou. Ina ia faia lenei mea, alu i le Fesoʻotaʻiga ma Initaneti Seti -> Fesoʻotaʻiga ma Faʻasoa Nofoaga -> Fausia ma faʻapipiʻi se fesoʻotaʻiga fou poʻo se fesoʻotaʻiga:
Matou te ulufale ma le lima i le igoa fesoʻotaʻiga ma suia le ituaiga puipuiga. Ona kiliki lea i luga sui tulaga sootaga ma i le Saogalemu tab, filifili fesoʻotaʻiga faʻamaonia - EAP-TTLS.
Alu i tulaga, seti le agatapuia o le faʻamaoni - tagata faʻatau. I le avea ai o se pulega faʻamaonia faʻalagolago, filifili le tusi faamaonia na matou faʻaopoopoina, siaki le pusa "Aua le tuʻuina atu se valaaulia i le tagata faʻaoga pe a le mafai ona faʻatagaina le server" ma filifili le auala faʻamaonia - plaintext password (PAP).
Le isi, alu i isi faʻamaufaʻailoga ma siaki le atigipusa "Faʻamaonia le faʻamaoniga." Filifili "User Authentication" ma kiliki i luga teu fa'ailoga. O iinei e te mana'omia ai le ulufale i le username_ldap ma le password_ldap
Matou te faʻasaoina, faʻaoga, tapunia mea uma. E mafai ona e fa'afeso'ota'i i se feso'otaiga fou.
Linux
Na ou tofotofoina i le Ubuntu 18.04, 18.10, Fedora 29, 30.
Muamua, download le tusi faamaonia mo oe lava. Ou te leʻi mauaina i Linux pe mafai ona faʻaoga tusi faʻamaonia poʻo pe i ai se faleoloa faapena.
O le a matou fa'afeso'ota'i e ala i le domain. O le mea lea, matou te manaʻomia se tusi faamaonia mai le pulega faʻamaonia na faʻatau mai ai le matou tusi faamaonia.
O feso'ota'iga uma e faia i le fa'amalama e tasi. Filifili la matou feso'ota'iga:
lē ta'ua - client
domain - le vaega lea na tuuina atu ai le tusi faamaonia
Android
e le-Samsung
Mai le version 7, pe a faʻafesoʻotaʻi le WiFi, e mafai ona e faʻaogaina tusi faamaonia e ala i le faʻamaonia naʻo le vaega:
domain - le vaega lea na tuuina atu ai le tusi faamaonia
lē ta'ua - client
Samsung
E pei ona ou tusia i luga, e le iloa e masini Samsung pe faʻapefea ona faʻaogaina tusi faʻamaonia pe a faʻafesoʻotaʻi le WiFi, ma latou te le maua le mafai ona faʻafesoʻotaʻi e ala i le vaega. O le mea lea, e te manaʻomia le faʻaopoopoina ma le lima le tusi faamaonia a le pule faʻamaonia (ca.pem, ave mai le server Radius). O iinei o le a faʻaaogaina ai le saini a le tagata lava ia.
La'u mai le tusi faamaonia i lau masini ma fa'apipi'i.
Fa'apipi'i se tusi faamaonia
I lenei tulaga, e tatau ona e setiina se mamanu tatala mata, PIN code po o le upu faataga, pe afai e lei setiina:
Na ou faʻaalia se filifiliga faigata mo le faʻapipiʻiina o se tusi faamaonia. I le tele o masini, na o le kiliki i luga o le tusi faamaonia na sii mai.
A faʻapipiʻi le tusi faamaonia, e mafai ona e alu i le fesoʻotaʻiga:
tusi pasi - fa'ailoa le mea na e fa'apipi'iina
fa'aoga lē ta'ua - malo
macOS
O masini Apple e mafai ona faʻafesoʻotaʻi i le EAP-TLS mai le pusa, ae e manaʻomia pea ona e tuʻuina atu ia i latou se tusi faamaonia. Ina ia faʻamaonia se isi auala fesoʻotaʻiga, e te manaʻomia le faʻaogaina o le Apple Configurator 2. E tusa ai ma lea, e tatau ona e sii mai muamua i lau Mac, fatuina se talaaga fou ma faʻaopoopo uma tulaga WiFi talafeagai.
Faʻatonuina o Apple
O iinei matou te faʻaalia ai le igoa o la matou fesoʻotaʻiga
Ituaiga Puipuiga - WPA2 Enterprise
Tulaga EAP Talia - TTLS
Igoa o le Fa'aoga ma le Upu - tu'u avanoa
Fa'amaoni Totonu - PAP
Fa'asinomaga i fafo - tagata o tausia
Trust tab. O iinei tatou te faailoa atu ai la tatou vaega
O mea uma. E mafai ona fa'asaoina le fa'amatalaga, saini ma tufatufa atu i masini
A maeʻa ona saunia le faʻamatalaga, e tatau ona e sii mai i lau Mac ma faʻapipiʻi. I le faagasologa o le faʻapipiʻiina, e tatau ona e faʻamaonia le usernmae_ldap ma le password_ldap o le tagata faʻaoga:
iOS
O le faagasologa e tutusa ma macOS. E manaʻomia lou faʻaogaina o se faʻamatalaga (e mafai ona e faʻaoga tutusa ma macOS. Vaʻai i luga mo le auala e fai ai se faʻamatalaga ile Apple Configurator).
La'u mai le fa'ailoga, fa'apipi'i, tu'u fa'amaonia, fa'afeso'ota'i:
Pau lava lena. Na matou setiina le server Radius, faʻatasi ma FreeIPA, ma taʻu atu i le Ubiquiti avanoa avanoa e faʻaoga ai le WPA2-EAP.
Fesili e ono tupu
I: fa'afefea ona fa'aliliuina se fa'amatalaga/pepa i se tagata faigaluega?
E UIGA: Ou te teuina uma tusi pasi/fa'ailoga i luga ole FTP fa'atasi ai ma avanoa ile upegatafa'ilagi. Ou te setiina se fesoʻotaʻiga malo faʻatasi ma se tapulaa saoasaoa ma avanoa i luga ole Initaneti, sei vagana ai FTP.
O le faʻamaoniga e 2 aso, a maeʻa ona toe setiina ma tuʻu le kalani e aunoa ma le Initaneti. lena. A manaʻo se tagata faigaluega e faʻafesoʻotaʻi i le WiFi, na te faʻafesoʻotaʻi muamua i le fesoʻotaʻiga malo, faʻaoga i le FTP, download le tusi faamaonia poʻo le talaaga na te manaʻomia, faʻapipiʻi, ona mafai lea ona faʻafesoʻotaʻi i le fesoʻotaʻiga kamupani.
I: aisea e le faʻaogaina ai se polokalame ma MSCHAPv2? e sili atu le saogalemu!
E UIGA: muamua, o lenei polokalame e aoga lelei i luga ole NPS (Windows Network Policy System), i la tatou faʻatinoga e manaʻomia le faʻaopoopoina o le LDAP (FreeIpa) ma faʻapipiʻi upu faʻaulu i luga o le server. Faaopoopo. E le fautuaina le faia o tulaga, aua e mafai ona oʻo atu ai i faʻafitauli eseese i le tuʻufaʻatasia o le ultrasound system. Lona lua, o le hash o le MD4, o lea e le faʻaopoopoina ai se puipuiga tele
I: E mafai ona fa'atagaina masini e fa'aoga ai tuatusi mac?
E UIGA: LEAI, e le saogalemu lenei mea, e mafai e se tagata osofaʻi ona faʻaleaga tuatusi MAC, ma sili atu, faʻatagaina e tuatusi MAC e le lagolagoina i le tele o masini.
I: Aisea e fa'aoga uma ai nei tusi pasi? e mafai ona e fa'afeso'ota'i e aunoa ma i latou
E UIGA: e fa'aoga tusi pasi e fa'ataga ai le 'au'aunaga. O na. Pe a faʻafesoʻotaʻi, e siaki e le masini pe o se server e mafai ona faʻatuatuaina pe leai. Afai o lea, ona faʻaauau lea o le faʻamaoniga; a leai, ua tapunia le fesoʻotaʻiga. E mafai ona e faʻafesoʻotaʻi e aunoa ma ni tusi faamaonia, ae afai e faʻapipiʻi e se tagata osofaʻi poʻo se tuaoi se radius server ma se avanoa avanoa e tutusa le igoa ma matou ile fale, e faigofie ona ia faʻalavelaveina faʻamatalaga a le tagata faʻaoga (aua neʻi galo o loʻo tuʻuina atu i tusitusiga manino) . Ma pe a faʻaaogaina se tusi faamaonia, o le a vaʻaia e le fili i totonu o ana ogalaau naʻo tatou Igoa Faʻaoga faʻapitoa - malo poʻo tagata faʻatau ma se faʻailoga sese - Le iloa CA Tusi Faamaonia
sina mea itiiti e uiga i macOSE masani lava, ile macOS, toe faʻapipiʻi le faiga e faia ile Initaneti. I le toe faʻaleleia, e tatau ona fesoʻotaʻi le Mac i le WiFi, ma e le mafai ona galue a matou WiFi faʻapitoa poʻo le fesoʻotaʻiga malo iinei. O le tagata lava ia, na ou faʻapipiʻiina se isi fesoʻotaʻiga, le masani WPA2-PSK, natia, naʻo galuega faʻapitoa. Pe e mafai foi ona e faia se bootable USB flash drive ma le faiga muamua. Ae afai o lau Mac e maeʻa le 2015, e te manaʻomia foʻi le suʻeina o se mea faʻapipiʻi mo lenei kiliva uila)
puna: www.habr.com