கார்ப்பரேட் வைஃபையை ஒழுங்கமைப்பதற்கான சில எடுத்துக்காட்டுகள் ஏற்கனவே விவரிக்கப்பட்டுள்ளன. இதேபோன்ற தீர்வை நான் எவ்வாறு செயல்படுத்தினேன் மற்றும் வெவ்வேறு சாதனங்களில் இணைக்கும்போது நான் எதிர்கொள்ள வேண்டிய சிக்கல்களை இங்கே விவரிக்கிறேன். பதிவுசெய்யப்பட்ட பயனர்களுடன் இருக்கும் LDAP ஐப் பயன்படுத்துவோம், FreeRadius ஐ உயர்த்துவோம் மற்றும் Ubnt கட்டுப்படுத்தியில் WPA2-Enterpriseஐ உள்ளமைப்போம். எல்லாம் எளிமையானது போல் தெரிகிறது. பார்க்கலாம்…
EAP முறைகள் பற்றி கொஞ்சம்
பணியைத் தொடர்வதற்கு முன், எங்கள் தீர்வில் எந்த அங்கீகார முறையைப் பயன்படுத்துவோம் என்பதைத் தீர்மானிக்க வேண்டும்.
விக்கிபீடியாவில் இருந்து:
EAP என்பது வயர்லெஸ் நெட்வொர்க்குகள் மற்றும் பாயிண்ட்-டு-பாயிண்ட் இணைப்புகளில் பெரும்பாலும் பயன்படுத்தப்படும் அங்கீகார கட்டமைப்பாகும். இந்த வடிவம் முதலில் RFC 3748 இல் விவரிக்கப்பட்டது மற்றும் RFC 5247 இல் புதுப்பிக்கப்பட்டது.
EAP ஒரு அங்கீகார முறையைத் தேர்ந்தெடுக்கவும், விசைகளை அனுப்பவும் மற்றும் EAP முறைகள் எனப்படும் செருகுநிரல்களுடன் அந்த விசைகளை செயலாக்கவும் பயன்படுகிறது. பல EAP முறைகள் உள்ளன, இவை இரண்டும் EAP உடன் வரையறுக்கப்பட்டு தனிப்பட்ட விற்பனையாளர்களால் வெளியிடப்பட்டது. EAP இணைப்பு அடுக்கை வரையறுக்கவில்லை, அது செய்தி வடிவமைப்பை மட்டுமே வரையறுக்கிறது. EAP ஐப் பயன்படுத்தும் ஒவ்வொரு நெறிமுறையும் அதன் சொந்த EAP செய்தி இணைக்கும் நெறிமுறையைக் கொண்டுள்ளது.
முறைகள் தானே:
- LEAP என்பது CISCO உருவாக்கிய தனியுரிம நெறிமுறை. பாதிப்புகள் கண்டறியப்பட்டன. இது தற்போது பயன்படுத்த பரிந்துரைக்கப்படவில்லை
- வயர்லெஸ் விற்பனையாளர்கள் மத்தியில் EAP-TLS நன்கு ஆதரிக்கப்படுகிறது. இது ஒரு பாதுகாப்பான நெறிமுறையாகும், ஏனெனில் இது SSL தரநிலைகளுக்கு அடுத்ததாக உள்ளது. கிளையண்டை அமைப்பது மிகவும் சிக்கலானது. கடவுச்சொல்லுடன் கூடுதலாக கிளையன்ட் சான்றிதழ் தேவை. பல கணினிகளில் ஆதரிக்கப்படுகிறது
- EAP-TTLS - பல கணினிகளில் பரவலாக ஆதரிக்கப்படுகிறது, அங்கீகார சேவையகத்தில் மட்டுமே PKI சான்றிதழ்களைப் பயன்படுத்தி நல்ல பாதுகாப்பை வழங்குகிறது
- EAP-MD5 மற்றொரு திறந்த தரநிலை. குறைந்தபட்ச பாதுகாப்பை வழங்குகிறது. பாதிக்கப்படக்கூடியது, பரஸ்பர அங்கீகாரம் மற்றும் முக்கிய உருவாக்கத்தை ஆதரிக்காது
- EAP-IKEv2 - இன்டர்நெட் கீ எக்ஸ்சேஞ்ச் புரோட்டோகால் பதிப்பு 2ஐ அடிப்படையாகக் கொண்டது. கிளையன்ட் மற்றும் சர்வர் இடையே பரஸ்பர அங்கீகாரம் மற்றும் அமர்வு விசை நிறுவலை வழங்குகிறது.
- PEAP என்பது CISCO, Microsoft மற்றும் RSA Security ஆகியவற்றின் கூட்டுத் தீர்வாகும். தயாரிப்புகளில் பரவலாகக் கிடைக்கிறது, நல்ல பாதுகாப்பை வழங்குகிறது. EAP-TTLSஐப் போலவே, சர்வர் பக்கத்தில் சான்றிதழ் மட்டுமே தேவை
- PEAPv0/EAP-MSCHAPv2 - EAP-TLSக்குப் பிறகு, இது உலகில் பரவலாகப் பயன்படுத்தப்படும் இரண்டாவது தரநிலையாகும். மைக்ரோசாப்ட், சிஸ்கோ, ஆப்பிள், லினக்ஸ் ஆகியவற்றில் கிளையன்ட்-சர்வர் உறவு பயன்படுத்தப்பட்டது
- PEAPv1/EAP-GTC - PEAPv0/EAP-MSCHAPv2க்கு மாற்றாக சிஸ்கோவால் உருவாக்கப்பட்டது. அங்கீகாரத் தரவை எந்த வகையிலும் பாதுகாக்காது. Windows OS இல் ஆதரிக்கப்படவில்லை
- EAP-FAST என்பது LEAP இன் குறைபாடுகளை சரிசெய்ய சிஸ்கோ உருவாக்கிய ஒரு நுட்பமாகும். பாதுகாக்கப்பட்ட அணுகல் நற்சான்றிதழை (PAC) பயன்படுத்துகிறது. முற்றிலும் முடிக்கப்படவில்லை
இந்த பன்முகத்தன்மையில், தேர்வு இன்னும் சிறப்பாக இல்லை. அங்கீகார முறை தேவைப்பட்டது: நல்ல பாதுகாப்பு, எல்லா சாதனங்களிலும் ஆதரவு (Windows 10, macOS, Linux, Android, iOS) மற்றும், உண்மையில், எளிமையானது சிறந்தது. எனவே, தேர்வு PAP நெறிமுறையுடன் இணைந்து EAP-TTLS இல் விழுந்தது.
கேள்வி எழலாம் - ஏன் PAP ஐப் பயன்படுத்த வேண்டும்? ஏனெனில் அவர் கடவுச்சொற்களை தெளிவாக அனுப்புகிறாரா?
ஆம் அது சரிதான். FreeRadius மற்றும் FreeIPA இடையேயான தொடர்பு இந்த வழியில் நடைபெறும். பிழைத்திருத்த பயன்முறையில், பயனர்பெயர் மற்றும் கடவுச்சொல் எவ்வாறு அனுப்பப்படுகிறது என்பதை நீங்கள் கண்காணிக்கலாம். ஆம், மற்றும் அவர்களை விடுங்கள், நீங்கள் மட்டுமே FreeRadius சேவையகத்தை அணுகலாம்.
நீங்கள் EAP-TTLS இன் வேலையைப் பற்றி மேலும் படிக்கலாம்
ஃப்ரீரேடியஸ்
FreeRadius CentOS 7.6 இல் உயர்த்தப்படும். இங்கே சிக்கலான எதுவும் இல்லை, நாங்கள் அதை வழக்கமான வழியில் அமைக்கிறோம்.
yum install freeradius freeradius-utils freeradius-ldap -yதொகுப்புகளில் இருந்து பதிப்பு 3.0.13 நிறுவப்பட்டுள்ளது. பிந்தையதை எடுத்துக் கொள்ளலாம்
அதன் பிறகு, FreeRadius ஏற்கனவே வேலை செய்கிறது. நீங்கள் வரியை /etc/raddb/users இல் கருத்துத் தெரிவிக்க முடியாது
steve Cleartext-Password := "testing"பிழைத்திருத்த பயன்முறையில் சேவையகத்தில் துவக்கவும்
freeradius -Xலோக்கல் ஹோஸ்டிலிருந்து சோதனை இணைப்பை உருவாக்கவும்
radtest steve testing 127.0.0.1 1812 testing123பதில் கிடைத்தது 115:127.0.0.1 முதல் 1812:127.0.0.1 நீளம் 56081 வரை அணுகல்-ஏற்றுக்கொள்ள ஐடி 20, எல்லாம் சரி என்று அர்த்தம். மேலே போ.
நாங்கள் தொகுதியை இணைக்கிறோம் LDAP.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldapநாங்கள் அதை உடனடியாக மாற்றுவோம். FreeIPA ஐ அணுக எங்களுக்கு FreeRadius தேவை
mods-enabled/ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...ஆரம் சேவையகத்தை மறுதொடக்கம் செய்து LDAP பயனர்களின் ஒத்திசைவைச் சரிபார்க்கவும்:
radtest user_ldap password_ldap localhost 1812 testing123
எடிட்டிங் ஈப் இன் mods-enabled/eap
இங்கே நாம் eap இன் இரண்டு நிகழ்வுகளைச் சேர்க்கிறோம். அவை சான்றிதழ்கள் மற்றும் சாவிகளில் மட்டுமே வேறுபடும். இது ஏன் என்று கீழே விளக்குகிறேன்.
mods-enabled/eap
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}மேலும் எடிட்டிங் தளம்-இயக்கப்பட்டது/இயல்புநிலை. அங்கீகரிப்பு மற்றும் அங்கீகரிப்பு பிரிவுகள் ஆர்வமாக உள்ளன.
தளம்-இயக்கப்பட்டது/இயல்புநிலை
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}அங்கீகரிக்கும் பிரிவில், எங்களுக்குத் தேவையில்லாத அனைத்து தொகுதிகளையும் அகற்றுவோம். நாங்கள் ldap ஐ மட்டும் விட்டு விடுகிறோம். பயனர்பெயர் மூலம் கிளையன்ட் சரிபார்ப்பைச் சேர்க்கவும். அதனால்தான் மேலே ஈப்பின் இரண்டு நிகழ்வுகளைச் சேர்த்துள்ளோம்.
பல EAPஉண்மை என்னவென்றால், சில சாதனங்களை இணைக்கும்போது, நாங்கள் கணினி சான்றிதழ்களைப் பயன்படுத்துவோம் மற்றும் டொமைனைக் குறிப்பிடுவோம். நம்பகமான சான்றிதழ் அதிகாரியிடமிருந்து சான்றிதழும் சாவியும் எங்களிடம் உள்ளன. தனிப்பட்ட முறையில், எனது கருத்துப்படி, ஒவ்வொரு சாதனத்திலும் சுய கையொப்பமிடப்பட்ட சான்றிதழை வீசுவதை விட இதுபோன்ற இணைப்பு செயல்முறை எளிதானது. ஆனால் சுய கையொப்பமிட்ட சான்றிதழ்கள் இல்லாமல், அது இன்னும் பலனளிக்கவில்லை. Samsung சாதனங்கள் மற்றும் Android =< 6 பதிப்புகள் கணினி சான்றிதழ்களைப் பயன்படுத்த முடியாது. எனவே, சுய கையொப்பமிட்ட சான்றிதழ்களுடன் அவர்களுக்காக ஈப்-கெஸ்ட் என்ற தனி நிகழ்வை உருவாக்குகிறோம். மற்ற எல்லா சாதனங்களுக்கும், நம்பகமான சான்றிதழுடன் eap-client ஐப் பயன்படுத்துவோம். சாதனம் இணைக்கப்பட்டிருக்கும் போது பயனர் பெயர் அநாமதேய புலத்தால் தீர்மானிக்கப்படுகிறது. 3 மதிப்புகள் மட்டுமே அனுமதிக்கப்படுகின்றன: விருந்தினர், கிளையண்ட் மற்றும் வெற்று புலம். மற்ற அனைத்தும் நிராகரிக்கப்படுகின்றன. இது அரசியல்வாதிகளில் கட்டமைக்கப்படும். சிறிது நேரம் கழித்து ஒரு உதாரணம் தருகிறேன்.
உள்ள அங்கீகரிப்பு மற்றும் அங்கீகரிப்பு பிரிவுகளைத் திருத்துவோம் தளம்-இயக்கப்பட்டது/உள் சுரங்கப்பாதை
தளம்-இயக்கப்பட்டது/உள் சுரங்கப்பாதை
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}அடுத்து, அநாமதேய உள்நுழைவுக்கு எந்தப் பெயர்களைப் பயன்படுத்தலாம் என்பதை கொள்கைகளில் குறிப்பிட வேண்டும். எடிட்டிங் கொள்கை.d/filter.
இது போன்ற வரிகளை நீங்கள் கண்டுபிடிக்க வேண்டும்:
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}கீழே elsif இல் தேவையான மதிப்புகளைச் சேர்க்கவும்:
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}இப்போது நாம் கோப்பகத்திற்கு செல்ல வேண்டும் சான்றிதழ்கள். எங்களிடம் ஏற்கனவே உள்ள நம்பகமான சான்றிதழின் சாவி மற்றும் சான்றிதழை இங்கே நீங்கள் வைக்க வேண்டும் மற்றும் ஈப்-விருந்தினருக்காக சுய கையொப்பமிட்ட சான்றிதழ்களை உருவாக்க வேண்டும்.
கோப்பில் உள்ள அளவுருக்களை மாற்றவும் ca.cnf.
ca.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"கோப்பில் அதே மதிப்புகளை எழுதுகிறோம் server.cnf. நாங்கள் மட்டும் மாறுகிறோம்
பொது பெயர்:
server.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"உருவாக்கு:
makeதயார். பெற்றது சர்வர்.சிஆர்டி и சர்வர்.கீ நாங்கள் ஏற்கனவே eap-guestல் மேலே பதிவு செய்துள்ளோம்.
இறுதியாக, கோப்பில் எங்கள் அணுகல் புள்ளிகளைச் சேர்ப்போம் வாடிக்கையாளர்.conf. அவற்றில் 7 உள்ளன. ஒவ்வொரு புள்ளியையும் தனித்தனியாக சேர்க்காமல் இருக்க, அவை அமைந்துள்ள நெட்வொர்க்கை மட்டுமே எழுதுவோம் (எனது அணுகல் புள்ளிகள் தனி VLAN இல் உள்ளன).
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}Ubiquiti கட்டுப்படுத்தி
கட்டுப்படுத்தியில் தனி நெட்வொர்க்கை எழுப்புகிறோம். அது 192.168.2.0/24 ஆக இருக்கட்டும்
அமைப்புகள் -> சுயவிவரத்திற்குச் செல்லவும். நாங்கள் புதிய ஒன்றை உருவாக்குகிறோம்:
ஆரம் சேவையகத்தின் முகவரி மற்றும் போர்ட் மற்றும் கோப்பில் எழுதப்பட்ட கடவுச்சொல்லை நாங்கள் எழுதுகிறோம் வாடிக்கையாளர்கள்.conf:
புதிய வயர்லெஸ் நெட்வொர்க் பெயரை உருவாக்கவும். WPA-EAP (Enterprise) ஐ அங்கீகார முறையாகத் தேர்ந்தெடுத்து, உருவாக்கப்பட்ட ஆரம் சுயவிவரத்தைக் குறிப்பிடவும்:
நாங்கள் அனைத்தையும் சேமித்து, விண்ணப்பிக்கவும் மற்றும் தொடரவும்.
வாடிக்கையாளர்களை அமைத்தல்
மிகவும் கடினமானவற்றுடன் ஆரம்பிக்கலாம்!
விண்டோஸ் 10
ஒரு டொமைன் வழியாக கார்ப்பரேட் வைஃபையுடன் எவ்வாறு இணைப்பது என்பது விண்டோஸுக்கு இன்னும் தெரியவில்லை என்பதே சிரமம். எனவே, நம்பகமான சான்றிதழ் கடையில் எங்கள் சான்றிதழை கைமுறையாக பதிவேற்ற வேண்டும். இங்கே நீங்கள் சுய கையொப்பமிடப்பட்ட மற்றும் சான்றிதழ் அதிகாரத்திலிருந்து இரண்டையும் பயன்படுத்தலாம். நான் இரண்டாவது பயன்படுத்துவேன்.
அடுத்து, நீங்கள் ஒரு புதிய இணைப்பை உருவாக்க வேண்டும். இதைச் செய்ய, பிணையம் மற்றும் இணைய அமைப்புகளுக்குச் செல்லவும் -> நெட்வொர்க் மற்றும் பகிர்வு மையம் -> புதிய இணைப்பு அல்லது பிணையத்தை உருவாக்கி உள்ளமைக்கவும்:
நெட்வொர்க் பெயரை கைமுறையாக உள்ளிட்டு பாதுகாப்பு வகையை மாற்றவும். நாம் கிளிக் செய்த பிறகு இணைப்பு அமைப்புகளை மாற்றவும் மற்றும் பாதுகாப்பு தாவலில், பிணைய அங்கீகாரத்தைத் தேர்ந்தெடுக்கவும் - EAP-TTLS.
நாங்கள் அளவுருக்களுக்குச் செல்கிறோம், அங்கீகாரத்தின் ரகசியத்தன்மையை பரிந்துரைக்கிறோம் - வாடிக்கையாளர். நம்பகமான சான்றிதழ் ஆணையமாக, நாங்கள் சேர்த்த சான்றிதழைத் தேர்ந்தெடுத்து, "சேவையகத்தை அங்கீகரிக்க முடியாவிட்டால் பயனருக்கு அழைப்பை வழங்க வேண்டாம்" என்ற பெட்டியைத் தேர்வுசெய்து, அங்கீகார முறையைத் தேர்ந்தெடுக்கவும் - மறைகுறியாக்கப்படாத கடவுச்சொல் (PAP).
அடுத்து, மேம்பட்ட அமைப்புகளுக்குச் சென்று, "அங்கீகாரப் பயன்முறையைக் குறிப்பிடவும்" என்பதில் ஒரு டிக் வைக்கவும். "பயனர் அங்கீகாரம்" என்பதைத் தேர்ந்தெடுத்து கிளிக் செய்யவும் நற்சான்றிதழ்களை சேமிக்கவும். இங்கே நீங்கள் username_ldap மற்றும் password_ldap ஆகியவற்றை உள்ளிட வேண்டும்
நாங்கள் எல்லாவற்றையும் சேமிக்கிறோம், விண்ணப்பிக்கிறோம், மூடுகிறோம். நீங்கள் ஒரு புதிய நெட்வொர்க்குடன் இணைக்க முடியும்.
லினக்ஸ்
உபுண்டு 18.04, 18.10, ஃபெடோரா 29, 30 இல் சோதனை செய்தேன்.
முதலில், நமது சான்றிதழைப் பதிவிறக்குவோம். சிஸ்டம் சர்டிபிகேட்களைப் பயன்படுத்த முடியுமா, அப்படி ஒரு கடை இருக்கிறதா என்று லினக்ஸில் நான் கண்டுபிடிக்கவில்லை.
டொமைனுடன் இணைவோம். எனவே, எங்கள் சான்றிதழ் வாங்கப்பட்ட சான்றிதழ் அதிகாரியிடமிருந்து எங்களுக்கு ஒரு சான்றிதழ் தேவை.
அனைத்து இணைப்புகளும் ஒரே சாளரத்தில் செய்யப்படுகின்றன. எங்கள் பிணையத்தைத் தேர்ந்தெடுப்பது:
அநாமதேய-வாடிக்கையாளர்
டொமைன் - சான்றிதழ் வழங்கப்படும் டொமைன்
அண்ட்ராய்டு
சாம்சங் அல்லாதது
பதிப்பு 7 இலிருந்து, WiFi ஐ இணைக்கும்போது, டொமைனை மட்டும் குறிப்பிடுவதன் மூலம் கணினி சான்றிதழ்களைப் பயன்படுத்தலாம்:
டொமைன் - சான்றிதழ் வழங்கப்படும் டொமைன்
அநாமதேய-வாடிக்கையாளர்
சாம்சங்
நான் மேலே எழுதியது போல், சாம்சங் சாதனங்கள் WiFi உடன் இணைக்கும்போது கணினி சான்றிதழ்களை எவ்வாறு பயன்படுத்துவது என்பது தெரியாது, மேலும் அவை டொமைன் வழியாக இணைக்கும் திறனைக் கொண்டிருக்கவில்லை. எனவே, நீங்கள் சான்றளிப்பு அதிகாரத்தின் மூலச் சான்றிதழை கைமுறையாகச் சேர்க்க வேண்டும் (ca.pem, நாங்கள் அதை ஆரம் சர்வரில் எடுத்துக்கொள்கிறோம்). இங்கே சுய கையொப்பம் பயன்படுத்தப்படும்.
உங்கள் சாதனத்தில் சான்றிதழைப் பதிவிறக்கி நிறுவவும்.
சான்றிதழ் நிறுவல்
அதே நேரத்தில், திரைத் திறத்தல் முறை, பின் குறியீடு அல்லது கடவுச்சொல் ஏற்கனவே அமைக்கப்படவில்லை என்றால், நீங்கள் அமைக்க வேண்டும்:
சான்றிதழை நிறுவுவதற்கான சிக்கலான பதிப்பைக் காட்டினேன். பெரும்பாலான சாதனங்களில், பதிவிறக்கம் செய்யப்பட்ட சான்றிதழில் கிளிக் செய்யவும்.
சான்றிதழை நிறுவியதும், நீங்கள் இணைப்பிற்குச் செல்லலாம்:
சான்றிதழ் - நிறுவப்பட்ட ஒன்றைக் குறிக்கவும்
அநாமதேய பயனர் - விருந்தினர்
MacOS
பெட்டிக்கு வெளியே உள்ள ஆப்பிள் சாதனங்கள் EAP-TLS உடன் மட்டுமே இணைக்க முடியும், ஆனால் நீங்கள் இன்னும் சான்றிதழை எறிய வேண்டும். வேறு இணைப்பு முறையைக் குறிப்பிட, நீங்கள் Apple Configurator 2 ஐப் பயன்படுத்த வேண்டும். அதன்படி, நீங்கள் முதலில் அதை உங்கள் Mac இல் பதிவிறக்கம் செய்து, ஒரு புதிய சுயவிவரத்தை உருவாக்கி தேவையான அனைத்து WiFi அமைப்புகளையும் சேர்க்க வேண்டும்.
ஆப்பிள் கட்டமைப்பான்
உங்கள் நெட்வொர்க் பெயரை இங்கே உள்ளிடவும்
பாதுகாப்பு வகை - WPA2 எண்டர்பிரைஸ்
ஏற்றுக்கொள்ளப்பட்ட EAP வகைகள் - TTLS
பயனர் பெயர் மற்றும் கடவுச்சொல் - காலியாக விடவும்
உள் அங்கீகாரம் - PAP
வெளிப்புற அடையாளம்-வாடிக்கையாளர்
நம்பிக்கை தாவல். இங்கே நாங்கள் எங்கள் டொமைனைக் குறிப்பிடுகிறோம்
அனைத்து. சுயவிவரத்தை சேமிக்கலாம், கையொப்பமிடலாம் மற்றும் சாதனங்களுக்கு விநியோகிக்கலாம்
சுயவிவரம் தயாரான பிறகு, நீங்கள் அதை பாப்பியில் பதிவிறக்கம் செய்து அதை நிறுவ வேண்டும். நிறுவலின் போது, பயனரின் usernmae_ldap மற்றும் password_ldap ஐ நீங்கள் குறிப்பிட வேண்டும்:
iOS,
செயல்முறை MacOS போன்றது. நீங்கள் ஒரு சுயவிவரத்தைப் பயன்படுத்த வேண்டும் (macOS இல் உள்ளதைப் போன்றே நீங்கள் பயன்படுத்தலாம். Apple Configurator இல் சுயவிவரத்தை எவ்வாறு உருவாக்குவது, மேலே பார்க்கவும்).
சுயவிவரத்தைப் பதிவிறக்கவும், நிறுவவும், நற்சான்றிதழ்களை உள்ளிடவும், இணைக்கவும்:
அவ்வளவுதான். ஆர சேவையகத்தை அமைத்து, அதை FreeIPA உடன் ஒத்திசைத்து, Ubiquiti AP களை WPA2-EAP ஐப் பயன்படுத்தச் சொன்னோம்.
சாத்தியமான கேள்விகள்
IN: ஒரு பணியாளருக்கு சுயவிவரம்/சான்றிதழை மாற்றுவது எப்படி?
ஓ: அனைத்து சான்றிதழ்கள்/சுயவிவரங்களையும் இணைய அணுகலுடன் ftp இல் சேமித்து வைக்கிறேன். ftp தவிர, வேக வரம்பு மற்றும் இணையத்தை மட்டுமே அணுகக்கூடிய விருந்தினர் நெட்வொர்க்கை உயர்த்தியது.
அங்கீகாரம் 2 நாட்களுக்கு நீடிக்கும், அதன் பிறகு அது மீட்டமைக்கப்பட்டு கிளையன்ட் இணையம் இல்லாமல் விடப்படும். அந்த. ஒரு ஊழியர் WiFi உடன் இணைக்க விரும்பினால், அவர் முதலில் விருந்தினர் நெட்வொர்க்குடன் இணைக்கிறார், FTP ஐ அணுகுகிறார், அவருக்குத் தேவையான சான்றிதழ் அல்லது சுயவிவரத்தைப் பதிவிறக்குகிறார், அதை நிறுவுகிறார், பின்னர் கார்ப்பரேட் நெட்வொர்க்குடன் இணைக்க முடியும்.
IN: MSCHAPv2 உடன் ஸ்கீமாவை ஏன் பயன்படுத்தக்கூடாது? அவள் பாதுகாப்பானவள்!
ஓ: முதலாவதாக, அத்தகைய திட்டம் NPS (விண்டோஸ் நெட்வொர்க் பாலிசி சிஸ்டம்) இல் நன்றாக வேலை செய்கிறது, எங்கள் செயல்படுத்தலில் கூடுதலாக LDAP (FreeIpa) ஐ உள்ளமைக்க மற்றும் சேவையகத்தில் கடவுச்சொல் ஹாஷ்களை சேமிப்பது அவசியம். கூட்டு. அமைப்புகளை உருவாக்குவது நல்லதல்ல, ஏனெனில். இது அல்ட்ராசவுண்டை ஒத்திசைப்பதில் பல்வேறு சிக்கல்களுக்கு வழிவகுக்கும். இரண்டாவதாக, ஹாஷ் MD4 ஆகும், எனவே இது அதிக பாதுகாப்பைச் சேர்க்காது.
IN: மேக் முகவரிகள் மூலம் சாதனங்களை அங்கீகரிக்க முடியுமா?
ஓ: இல்லை, இது பாதுகாப்பானது அல்ல, தாக்குபவர் MAC முகவரிகளை மாற்றலாம், மேலும் MAC முகவரிகளின் அங்கீகாரம் பல சாதனங்களில் ஆதரிக்கப்படாது.
IN: பொதுவாக இந்தச் சான்றிதழ்கள் எதைப் பயன்படுத்த வேண்டும்? அவர்கள் இல்லாமல் நீங்கள் சேர முடியுமா?
ஓ: சர்வரை அங்கீகரிக்க சான்றிதழ்கள் பயன்படுத்தப்படுகின்றன. அந்த. இணைக்கும்போது, சாதனம் நம்பக்கூடிய சேவையகமா இல்லையா என்பதைச் சரிபார்க்கிறது. அது இருந்தால், அங்கீகாரம் தொடர்கிறது, இல்லையெனில் இணைப்பு மூடப்படும். நீங்கள் சான்றிதழ்கள் இல்லாமல் இணைக்க முடியும், ஆனால் தாக்குபவர் அல்லது அண்டை வீட்டார் எங்கள் அதே பெயரில் ஆரம் சர்வர் மற்றும் அணுகல் புள்ளியை அமைத்தால், அவர் பயனரின் நற்சான்றிதழ்களை எளிதில் இடைமறிக்க முடியும் (அவை தெளிவான உரையில் அனுப்பப்படுகின்றன என்பதை மறந்துவிடாதீர்கள்). ஒரு சான்றிதழைப் பயன்படுத்தும்போது, எதிரி தனது பதிவுகளில் நமது கற்பனையான பயனர் பெயர் - விருந்தினர் அல்லது கிளையன்ட் மற்றும் வகைப் பிழை - தெரியாத CA சான்றிதழ் ஆகியவற்றை மட்டுமே பார்ப்பார்.
MacOS பற்றி இன்னும் கொஞ்சம்வழக்கமாக MacOS இல், கணினியை மீண்டும் நிறுவுவது இணையம் வழியாக செய்யப்படுகிறது. மீட்பு பயன்முறையில், Mac WiFi உடன் இணைக்கப்பட்டிருக்க வேண்டும், மேலும் எங்கள் நிறுவன WiFi அல்லது விருந்தினர் நெட்வொர்க் இங்கு வேலை செய்யாது. தனிப்பட்ட முறையில், நான் மற்றொரு நெட்வொர்க்கை எழுப்பினேன், வழக்கமான WPA2-PSK, மறைக்கப்பட்ட, தொழில்நுட்ப செயல்பாடுகளுக்கு மட்டுமே. அல்லது நீங்கள் இன்னும் முன்கூட்டியே கணினியுடன் துவக்கக்கூடிய USB ஃபிளாஷ் டிரைவை உருவாக்கலாம். ஆனால் பாப்பி 2015 க்குப் பிறகு இருந்தால், இந்த ஃபிளாஷ் டிரைவிற்கான அடாப்டரை நீங்கள் இன்னும் கண்டுபிடிக்க வேண்டும்)
ஆதாரம்: www.habr.com