కార్పొరేట్ WiFiని నిర్వహించే కొన్ని ఉదాహరణలు ఇప్పటికే వివరించబడ్డాయి. నేను ఇదే విధమైన పరిష్కారాన్ని ఎలా అమలు చేసాను మరియు విభిన్న పరికరాలలో కనెక్ట్ చేసేటప్పుడు నేను ఎదుర్కొనే సమస్యలను ఇక్కడ వివరిస్తాను. మేము ఇప్పటికే ఉన్న LDAPని నమోదిత వినియోగదారులతో ఉపయోగిస్తాము, FreeRadiusని పెంచుతాము మరియు Ubnt కంట్రోలర్పై WPA2-Enterpriseని కాన్ఫిగర్ చేస్తాము. అంతా సింపుల్గా ఉన్నట్లు అనిపిస్తుంది. చూద్దాం…
EAP పద్ధతుల గురించి కొంచెం
విధిని కొనసాగించే ముందు, మా పరిష్కారంలో మేము ఏ ప్రామాణీకరణ పద్ధతిని ఉపయోగించాలో నిర్ణయించుకోవాలి.
వికీపీడియా నుండి:
EAP అనేది వైర్లెస్ నెట్వర్క్లు మరియు పాయింట్-టు-పాయింట్ కనెక్షన్లలో తరచుగా ఉపయోగించే ప్రామాణీకరణ ఫ్రేమ్వర్క్. ఫార్మాట్ మొదట RFC 3748లో వివరించబడింది మరియు RFC 5247లో నవీకరించబడింది.
EAP అనేది ప్రమాణీకరణ పద్ధతిని ఎంచుకోవడానికి, కీలను పాస్ చేయడానికి మరియు EAP పద్ధతులు అని పిలువబడే ప్లగ్-ఇన్లతో ఆ కీలను ప్రాసెస్ చేయడానికి ఉపయోగించబడుతుంది. అనేక EAP పద్ధతులు ఉన్నాయి, రెండూ EAP తోనే నిర్వచించబడ్డాయి మరియు వ్యక్తిగత విక్రేతలచే విడుదల చేయబడ్డాయి. EAP లింక్ లేయర్ను నిర్వచించదు, ఇది సందేశ ఆకృతిని మాత్రమే నిర్వచిస్తుంది. EAPని ఉపయోగించే ప్రతి ప్రోటోకాల్ దాని స్వంత EAP సందేశ ఎన్క్యాప్సులేషన్ ప్రోటోకాల్ను కలిగి ఉంటుంది.
పద్ధతులు స్వయంగా:
- LEAP అనేది CISCO చే అభివృద్ధి చేయబడిన యాజమాన్య ప్రోటోకాల్. బలహీనతలు కనుగొనబడ్డాయి. ఇది ప్రస్తుతం ఉపయోగించడానికి సిఫారసు చేయబడలేదు
- EAP-TLS వైర్లెస్ విక్రేతలలో బాగా మద్దతు ఇస్తుంది. ఇది సురక్షిత ప్రోటోకాల్ ఎందుకంటే ఇది SSL ప్రమాణాలకు వారసుడు. క్లయింట్ను సెటప్ చేయడం చాలా క్లిష్టంగా ఉంటుంది. మీకు పాస్వర్డ్తో పాటు క్లయింట్ సర్టిఫికేట్ అవసరం. అనేక సిస్టమ్లలో మద్దతు ఉంది
- EAP-TTLS - అనేక సిస్టమ్లలో విస్తృతంగా మద్దతు ఉంది, ప్రామాణీకరణ సర్వర్లో మాత్రమే PKI ప్రమాణపత్రాలను ఉపయోగించడం ద్వారా మంచి భద్రతను అందిస్తుంది
- EAP-MD5 మరొక ఓపెన్ స్టాండర్డ్. కనీస భద్రతను అందిస్తుంది. హాని కలిగించేది, పరస్పర ప్రమాణీకరణ మరియు కీ ఉత్పత్తికి మద్దతు ఇవ్వదు
- EAP-IKEv2 - ఇంటర్నెట్ కీ ఎక్స్ఛేంజ్ ప్రోటోకాల్ వెర్షన్ 2 ఆధారంగా. క్లయింట్ మరియు సర్వర్ మధ్య పరస్పర ప్రమాణీకరణ మరియు సెషన్ కీ ఏర్పాటును అందిస్తుంది
- PEAP అనేది CISCO, Microsoft మరియు RSA సెక్యూరిటీ యొక్క ఉమ్మడి పరిష్కారం. ఉత్పత్తులలో విస్తృతంగా అందుబాటులో ఉంది, చాలా మంచి భద్రతను అందిస్తుంది. EAP-TTLS మాదిరిగానే, సర్వర్ వైపు సర్టిఫికేట్ మాత్రమే అవసరం
- PEAPv0/EAP-MSCHAPv2 - EAP-TLS తర్వాత, ఇది ప్రపంచంలో రెండవ విస్తృతంగా ఉపయోగించే ప్రమాణం. Microsoft, Cisco, Apple, Linuxలో క్లయింట్-సర్వర్ సంబంధం ఉపయోగించబడింది
- PEAPv1/EAP-GTC - PEAPv0/EAP-MSCHAPv2కి ప్రత్యామ్నాయంగా సిస్కోచే సృష్టించబడింది. ప్రామాణీకరణ డేటాను ఏ విధంగానూ రక్షించదు. Windows OSలో మద్దతు లేదు
- EAP-FAST అనేది LEAP యొక్క లోపాలను సరిచేయడానికి సిస్కో అభివృద్ధి చేసిన టెక్నిక్. రక్షిత యాక్సెస్ క్రెడెన్షియల్ (PAC)ని ఉపయోగిస్తుంది. పూర్తిగా అసంపూర్తిగా ఉంది
ఈ వైవిధ్యంలో, ఎంపిక ఇప్పటికీ గొప్పది కాదు. ప్రామాణీకరణ పద్ధతి అవసరం: మంచి భద్రత, అన్ని పరికరాల్లో మద్దతు (Windows 10, macOS, Linux, Android, iOS) మరియు, నిజానికి, సరళమైనది మంచిది. కాబట్టి, ఎంపిక PAP ప్రోటోకాల్తో కలిపి EAP-TTLSపై పడింది.
ప్రశ్న తలెత్తవచ్చు - PAP ఎందుకు ఉపయోగించాలి? ఎందుకంటే అతను పాస్వర్డ్లను స్పష్టంగా ప్రసారం చేస్తాడు?
అవును అది ఒప్పు. FreeRadius మరియు FreeIPA మధ్య కమ్యూనికేషన్ ఈ విధంగా జరుగుతుంది. డీబగ్ మోడ్లో, వినియోగదారు పేరు మరియు పాస్వర్డ్ ఎలా పంపబడతాయో మీరు ట్రాక్ చేయవచ్చు. అవును, మరియు వాటిని వెళ్లనివ్వండి, మీకు మాత్రమే FreeRadius సర్వర్కు ప్రాప్యత ఉంది.
మీరు EAP-TTLS యొక్క పని గురించి మరింత చదువుకోవచ్చు
ఫ్రీరాడియస్
FreeRadius CentOS 7.6లో పెంచబడుతుంది. ఇక్కడ సంక్లిష్టంగా ఏమీ లేదు, మేము దానిని సాధారణ మార్గంలో సెట్ చేస్తాము.
yum install freeradius freeradius-utils freeradius-ldap -y
ప్యాకేజీల నుండి వెర్షన్ 3.0.13 ఇన్స్టాల్ చేయబడింది. రెండోది తీసుకోవచ్చు
ఆ తర్వాత, FreeRadius ఇప్పటికే పని చేస్తోంది. మీరు /etc/raddb/usersలో లైన్ను అన్కామెంట్ చేయవచ్చు
steve Cleartext-Password := "testing"
డీబగ్ మోడ్లో సర్వర్లోకి ప్రారంభించండి
freeradius -X
మరియు లోకల్ హోస్ట్ నుండి టెస్ట్ కనెక్షన్ చేయండి
radtest steve testing 127.0.0.1 1812 testing123
సమాధానం దొరికింది 115:127.0.0.1 నుండి 1812:127.0.0.1 పొడవు 56081 వరకు యాక్సెస్-అంగీకరించు Id 20 పొందింది, ప్రతిదీ సరిగ్గా ఉందని అర్థం. ముందుకి వెళ్ళు.
మేము మాడ్యూల్ను కనెక్ట్ చేస్తాము LDAP.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldap
మరియు మేము దానిని వెంటనే మారుస్తాము. FreeIPAని యాక్సెస్ చేయడానికి మాకు FreeRadius అవసరం
mods-enabled/ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...
వ్యాసార్థ సర్వర్ని పునఃప్రారంభించండి మరియు LDAP వినియోగదారుల సమకాలీకరణను తనిఖీ చేయండి:
radtest user_ldap password_ldap localhost 1812 testing123
ఈప్ ఇన్ ఎడిటింగ్ mods-enabled/eap
ఇక్కడ మేము ఈప్ యొక్క రెండు ఉదాహరణలను జోడిస్తాము. అవి సర్టిఫికేట్లు మరియు కీలలో మాత్రమే విభిన్నంగా ఉంటాయి. ఇది ఎందుకు అని నేను క్రింద వివరిస్తాను.
mods-enabled/eap
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
తదుపరి సవరణ సైట్-ప్రారంభించబడింది/డిఫాల్ట్. అధికారం మరియు ప్రమాణీకరణ విభాగాలు ఆసక్తిని కలిగి ఉంటాయి.
సైట్-ప్రారంభించబడింది/డిఫాల్ట్
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}
అధీకృత విభాగంలో, మనకు అవసరం లేని అన్ని మాడ్యూళ్లను మేము తీసివేస్తాము. మేము ldap మాత్రమే వదిలివేస్తాము. వినియోగదారు పేరు ద్వారా క్లయింట్ ధృవీకరణను జోడించండి. అందుకే మేము పైన ఈప్ యొక్క రెండు ఉదాహరణలను జోడించాము.
బహుళ EAPవాస్తవం ఏమిటంటే కొన్ని పరికరాలను కనెక్ట్ చేసేటప్పుడు, మేము సిస్టమ్ సర్టిఫికేట్లను ఉపయోగిస్తాము మరియు డొమైన్ను నిర్దేశిస్తాము. విశ్వసనీయ సర్టిఫికేట్ అథారిటీ నుండి మా వద్ద సర్టిఫికేట్ మరియు కీ ఉంది. వ్యక్తిగతంగా, నా అభిప్రాయం ప్రకారం, ప్రతి పరికరంలో స్వీయ సంతకం చేసిన ప్రమాణపత్రాన్ని విసిరేయడం కంటే అటువంటి కనెక్షన్ విధానం సులభం. కానీ స్వీయ సంతకం చేసిన సర్టిఫికేట్లు లేకుండా, అది ఇప్పటికీ పని చేయలేదు. Samsung పరికరాలు మరియు Android =< 6 సంస్కరణలు సిస్టమ్ ప్రమాణపత్రాలను ఉపయోగించవు. అందువల్ల, మేము వారి కోసం స్వీయ సంతకం చేసిన సర్టిఫికేట్లతో ఈప్-గెస్ట్ యొక్క ప్రత్యేక ఉదాహరణను సృష్టిస్తాము. అన్ని ఇతర పరికరాల కోసం, మేము విశ్వసనీయ ప్రమాణపత్రంతో eap-క్లయింట్ని ఉపయోగిస్తాము. పరికరం కనెక్ట్ చేయబడినప్పుడు వినియోగదారు పేరు అనామక ఫీల్డ్ ద్వారా నిర్ణయించబడుతుంది. 3 విలువలు మాత్రమే అనుమతించబడతాయి: అతిథి, క్లయింట్ మరియు ఖాళీ ఫీల్డ్. మిగతావన్నీ విస్మరించబడతాయి. ఇది రాజకీయ నాయకులలో కాన్ఫిగర్ చేయబడుతుంది. నేను కొంచెం తరువాత ఒక ఉదాహరణ ఇస్తాను.
లోని అధీకృత మరియు ప్రామాణీకరణ విభాగాలను ఎడిట్ చేద్దాం సైట్-ఎనేబుల్డ్/ఇన్నర్-టన్నెల్
సైట్-ఎనేబుల్డ్/ఇన్నర్-టన్నెల్
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}
తర్వాత, అనామక లాగిన్ కోసం ఏ పేర్లను ఉపయోగించవచ్చో మీరు విధానాలలో పేర్కొనాలి. ఎడిటింగ్ policy.d/filter.
మీరు ఇలాంటి పంక్తులను కనుగొనాలి:
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}
మరియు దిగువన elsifలో కావలసిన విలువలను జోడించండి:
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}
ఇప్పుడు మనం డైరెక్టరీకి వెళ్లాలి ధృవపత్రాలు. ఇక్కడ మీరు విశ్వసనీయ సర్టిఫికేట్ అథారిటీ నుండి కీ మరియు సర్టిఫికేట్ను ఉంచాలి, ఇది మా వద్ద ఇప్పటికే ఉంది మరియు ఈప్-గెస్ట్ కోసం స్వీయ సంతకం చేసిన సర్టిఫికేట్లను రూపొందించాలి.
ఫైల్లోని పారామితులను మార్చండి ca.cnf.
ca.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"
మేము ఫైల్లో అదే విలువలను వ్రాస్తాము server.cnf. మేము మాత్రమే మారతాము
సాధారణ పేరు:
server.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"
సృష్టించు:
make
సిద్ధంగా ఉంది. అందుకుంది సర్వర్.crt и సర్వర్.కీ మేము ఇప్పటికే ఈప్-గెస్ట్లో పైన నమోదు చేసుకున్నాము.
చివరగా, ఫైల్కి మన యాక్సెస్ పాయింట్లను జోడిద్దాం client.conf. నా దగ్గర వాటిలో 7 ఉన్నాయి. ప్రతి పాయింట్ని విడిగా జోడించకుండా ఉండటానికి, మేము అవి ఉన్న నెట్వర్క్ను మాత్రమే వ్రాస్తాము (నా యాక్సెస్ పాయింట్లు ప్రత్యేక VLANలో ఉన్నాయి).
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}
Ubiquiti కంట్రోలర్
మేము కంట్రోలర్పై ప్రత్యేక నెట్వర్క్ను పెంచుతాము. అది 192.168.2.0/24గా ఉండనివ్వండి
సెట్టింగ్లు -> ప్రొఫైల్కి వెళ్లండి. మేము కొత్తదాన్ని సృష్టిస్తాము:
మేము వ్యాసార్థం సర్వర్ యొక్క చిరునామా మరియు పోర్ట్ మరియు ఫైల్లో వ్రాసిన పాస్వర్డ్ను వ్రాస్తాము clients.conf:
కొత్త వైర్లెస్ నెట్వర్క్ పేరును సృష్టించండి. ప్రామాణీకరణ పద్ధతిగా WPA-EAP (Enterprise)ని ఎంచుకోండి మరియు సృష్టించిన వ్యాసార్థ ప్రొఫైల్ను పేర్కొనండి:
మేము ప్రతిదీ సేవ్ చేస్తాము, దరఖాస్తు మరియు కొనసాగండి.
క్లయింట్లను ఏర్పాటు చేస్తోంది
అత్యంత కష్టమైన వాటితో ప్రారంభిద్దాం!
విండోస్ 10
డొమైన్ ద్వారా కార్పొరేట్ వైఫైకి ఎలా కనెక్ట్ చేయాలో విండోస్కు ఇంకా తెలియకపోవడం వల్ల ఇబ్బంది వస్తుంది. కాబట్టి, మేము మా సర్టిఫికేట్ను విశ్వసనీయ సర్టిఫికేట్ స్టోర్కు మాన్యువల్గా అప్లోడ్ చేయాలి. ఇక్కడ మీరు స్వీయ సంతకం మరియు ధృవీకరణ అధికారం నుండి రెండింటినీ ఉపయోగించవచ్చు. నేను రెండవదాన్ని ఉపయోగిస్తాను.
తరువాత, మీరు కొత్త కనెక్షన్ని సృష్టించాలి. దీన్ని చేయడానికి, నెట్వర్క్ మరియు ఇంటర్నెట్ సెట్టింగ్లకు వెళ్లండి -> నెట్వర్క్ మరియు షేరింగ్ సెంటర్ -> కొత్త కనెక్షన్ లేదా నెట్వర్క్ను సృష్టించండి మరియు కాన్ఫిగర్ చేయండి:
నెట్వర్క్ పేరును మాన్యువల్గా నమోదు చేయండి మరియు భద్రతా రకాన్ని మార్చండి. మేము క్లిక్ చేసిన తర్వాత కనెక్షన్ సెట్టింగులను మార్చండి మరియు సెక్యూరిటీ ట్యాబ్లో, నెట్వర్క్ ప్రమాణీకరణను ఎంచుకోండి - EAP-TTLS.
మేము పారామితులలోకి వెళ్తాము, ప్రమాణీకరణ యొక్క గోప్యతను నిర్దేశిస్తాము - క్లయింట్. విశ్వసనీయ ధృవీకరణ అధికారంగా, మేము జోడించిన సర్టిఫికేట్ను ఎంచుకుని, "సర్వర్కు అధికారం ఇవ్వలేకపోతే వినియోగదారుకు ఆహ్వానాన్ని జారీ చేయవద్దు" అనే పెట్టెను ఎంచుకోండి మరియు ప్రామాణీకరణ పద్ధతిని ఎంచుకోండి - ఎన్క్రిప్ట్ చేయని పాస్వర్డ్ (PAP).
తరువాత, అధునాతన సెట్టింగ్లకు వెళ్లి, "ప్రామాణీకరణ మోడ్ను పేర్కొనండి"పై టిక్ ఉంచండి. "యూజర్ అథెంటికేషన్" ఎంచుకుని, క్లిక్ చేయండి ఆధారాలను సేవ్ చేయండి. ఇక్కడ మీరు username_ldap మరియు password_ldapని నమోదు చేయాలి
మేము ప్రతిదీ సేవ్ చేస్తాము, దరఖాస్తు చేస్తాము, మూసివేయండి. మీరు కొత్త నెట్వర్క్కి కనెక్ట్ చేయవచ్చు.
linux
నేను ఉబుంటు 18.04, 18.10, ఫెడోరా 29, 30లో పరీక్షించాను.
ముందుగా, మన సర్టిఫికెట్ని డౌన్లోడ్ చేద్దాం. సిస్టమ్ సర్టిఫికేట్లను ఉపయోగించడం సాధ్యమేనా మరియు అలాంటి స్టోర్ ఏదైనా ఉందా అని నేను Linuxలో కనుగొనలేదు.
డొమైన్కు కనెక్ట్ చేద్దాం. కాబట్టి, మా సర్టిఫికేట్ కొనుగోలు చేయబడిన ధృవీకరణ అధికారం నుండి మాకు సర్టిఫికేట్ అవసరం.
అన్ని కనెక్షన్లు ఒకే విండోలో తయారు చేయబడ్డాయి. మా నెట్వర్క్ని ఎంచుకోవడం:
అనామక-క్లయింట్
డొమైన్ - సర్టిఫికేట్ జారీ చేయబడిన డొమైన్
ఆండ్రాయిడ్
శామ్సంగ్ కానిది
వెర్షన్ 7 నుండి, WiFiని కనెక్ట్ చేస్తున్నప్పుడు, మీరు డొమైన్ను మాత్రమే పేర్కొనడం ద్వారా సిస్టమ్ సర్టిఫికేట్లను ఉపయోగించవచ్చు:
డొమైన్ - సర్టిఫికేట్ జారీ చేయబడిన డొమైన్
అనామక-క్లయింట్
శామ్సంగ్
నేను పైన వ్రాసినట్లుగా, వైఫైకి కనెక్ట్ చేసేటప్పుడు సిస్టమ్ సర్టిఫికేట్లను ఎలా ఉపయోగించాలో శామ్సంగ్ పరికరాలకు తెలియదు మరియు డొమైన్ ద్వారా కనెక్ట్ చేసే సామర్థ్యం వారికి లేదు. అందువల్ల, మీరు తప్పనిసరిగా ధృవీకరణ అధికారం యొక్క రూట్ సర్టిఫికేట్ను మాన్యువల్గా జోడించాలి (ca.pem, మేము దానిని రేడియస్ సర్వర్లో తీసుకుంటాము). ఇక్కడ స్వీయ సంతకం ఉపయోగించబడుతుంది.
మీ పరికరానికి ప్రమాణపత్రాన్ని డౌన్లోడ్ చేసి, దాన్ని ఇన్స్టాల్ చేయండి.
సర్టిఫికేట్ ఇన్స్టాలేషన్
అదే సమయంలో, మీరు స్క్రీన్ అన్లాక్ నమూనా, పిన్ కోడ్ లేదా పాస్వర్డ్ను ఇప్పటికే సెట్ చేయకపోతే సెట్ చేయాలి:
నేను సర్టిఫికేట్ను ఇన్స్టాల్ చేసే సంక్లిష్ట సంస్కరణను చూపించాను. చాలా పరికరాలలో, డౌన్లోడ్ చేసిన సర్టిఫికేట్పై క్లిక్ చేయండి.
సర్టిఫికేట్ ఇన్స్టాల్ చేయబడినప్పుడు, మీరు కనెక్షన్కి వెళ్లవచ్చు:
సర్టిఫికేట్ - ఇన్స్టాల్ చేయబడిన దాన్ని సూచించండి
అనామక వినియోగదారు - అతిథి
MacOS
పెట్టె వెలుపల ఉన్న Apple పరికరాలు EAP-TLSకి మాత్రమే కనెక్ట్ చేయగలవు, కానీ మీరు ఇప్పటికీ వాటిపై సర్టిఫికేట్ను విసిరేయాలి. వేరొక కనెక్షన్ పద్ధతిని పేర్కొనడానికి, మీరు Apple కాన్ఫిగరేటర్ 2ని ఉపయోగించాలి. తదనుగుణంగా, మీరు దీన్ని ముందుగా మీ Macకి డౌన్లోడ్ చేసుకోవాలి, కొత్త ప్రొఫైల్ను సృష్టించి, అవసరమైన అన్ని WiFi సెట్టింగ్లను జోడించాలి.
ఆపిల్ కాన్ఫిగరేటర్
మీ నెట్వర్క్ పేరును ఇక్కడ నమోదు చేయండి
భద్రతా రకం - WPA2 ఎంటర్ప్రైజ్
ఆమోదించబడిన EAP రకాలు - TTLS
వినియోగదారు పేరు మరియు పాస్వర్డ్ - ఖాళీగా ఉంచండి
అంతర్గత ప్రమాణీకరణ - PAP
బాహ్య గుర్తింపు-క్లయింట్
ట్రస్ట్ ట్యాబ్. ఇక్కడ మేము మా డొమైన్ను పేర్కొంటాము
అన్నీ. ప్రొఫైల్ సేవ్ చేయబడుతుంది, సంతకం చేయబడుతుంది మరియు పరికరాలకు పంపిణీ చేయబడుతుంది
ప్రొఫైల్ సిద్ధమైన తర్వాత, మీరు దానిని గసగసాలకు డౌన్లోడ్ చేసి, ఇన్స్టాల్ చేయాలి. ఇన్స్టాలేషన్ ప్రాసెస్ సమయంలో, మీరు యూజర్ యొక్క usernmae_ldap మరియు password_ldapని పేర్కొనాలి:
iOS
ప్రక్రియ మాకోస్ మాదిరిగానే ఉంటుంది. మీరు ప్రొఫైల్ను ఉపయోగించాలి (ఇది మాకోస్ మాదిరిగానే ఉంటుంది. Apple కాన్ఫిగరేటర్లో ప్రొఫైల్ను ఎలా సృష్టించాలి, పైన చూడండి).
ప్రొఫైల్ని డౌన్లోడ్ చేయండి, ఇన్స్టాల్ చేయండి, ఆధారాలను నమోదు చేయండి, కనెక్ట్ చేయండి:
అంతే. మేము రేడియస్ సర్వర్ని సెటప్ చేసాము, దానిని FreeIPAతో సమకాలీకరించాము మరియు WPA2-EAPని ఉపయోగించమని Ubiquiti APలకు చెప్పాము.
సాధ్యమయ్యే ప్రశ్నలు
AT: ఉద్యోగికి ప్రొఫైల్/సర్టిఫికేట్ ఎలా బదిలీ చేయాలి?
గురించి: నేను వెబ్ యాక్సెస్తో అన్ని సర్టిఫికేట్లు/ప్రొఫైల్లను ftpలో స్టోర్ చేస్తాను. ftp మినహా, వేగ పరిమితి మరియు ఇంటర్నెట్కు మాత్రమే యాక్సెస్తో అతిథి నెట్వర్క్ను పెంచింది.
ప్రామాణీకరణ 2 రోజుల పాటు కొనసాగుతుంది, ఆ తర్వాత అది రీసెట్ చేయబడుతుంది మరియు క్లయింట్ ఇంటర్నెట్ లేకుండా వదిలివేయబడుతుంది. ఆ. ఒక ఉద్యోగి WiFiకి కనెక్ట్ చేయాలనుకున్నప్పుడు, అతను మొదట గెస్ట్ నెట్వర్క్కి కనెక్ట్ అయ్యి, FTPని యాక్సెస్ చేస్తాడు, అతనికి అవసరమైన సర్టిఫికేట్ లేదా ప్రొఫైల్ను డౌన్లోడ్ చేస్తాడు, ఇన్స్టాల్ చేస్తాడు, ఆపై కార్పొరేట్ నెట్వర్క్కి కనెక్ట్ చేయవచ్చు.
AT: MSCHAPv2తో స్కీమాను ఎందుకు ఉపయోగించకూడదు? ఆమె సురక్షితం!
గురించి: ముందుగా, అటువంటి పథకం NPS (Windows నెట్వర్క్ పాలసీ సిస్టమ్)లో బాగా పనిచేస్తుంది, మా అమలులో అదనంగా LDAP (FreeIpa)ని కాన్ఫిగర్ చేయడం మరియు పాస్వర్డ్ హ్యాష్లను సర్వర్లో నిల్వ చేయడం అవసరం. జోడించు. సెట్టింగులు చేయడం మంచిది కాదు, ఎందుకంటే. ఇది అల్ట్రాసౌండ్ను సమకాలీకరించడంలో వివిధ సమస్యలకు దారితీస్తుంది. రెండవది, హాష్ MD4, కాబట్టి ఇది ఎక్కువ భద్రతను జోడించదు.
AT: Mac-చిరునామాల ద్వారా పరికరాలను ప్రామాణీకరించడం సాధ్యమేనా?
గురించి: లేదు, ఇది సురక్షితమైనది కాదు, దాడి చేసే వ్యక్తి MAC చిరునామాలను మార్చగలడు మరియు ఇంకా ఎక్కువగా MAC చిరునామాల ద్వారా అధికారానికి అనేక పరికరాలలో మద్దతు లేదు
AT: సాధారణంగా ఈ సర్టిఫికెట్లన్నింటికీ ఏమి ఉపయోగించాలి? వారు లేకుండా మీరు చేరగలరా?
గురించి: సర్టిఫికేట్లు సర్వర్ను ప్రామాణీకరించడానికి ఉపయోగించబడతాయి. ఆ. కనెక్ట్ చేస్తున్నప్పుడు, పరికరం విశ్వసించదగిన సర్వర్ కాదా అని తనిఖీ చేస్తుంది. అది ఉంటే, అప్పుడు ప్రామాణీకరణ కొనసాగుతుంది, లేకపోతే, కనెక్షన్ మూసివేయబడుతుంది. మీరు సర్టిఫికేట్లు లేకుండా కనెక్ట్ చేయవచ్చు, కానీ దాడి చేసే వ్యక్తి లేదా పొరుగువారు ఇంట్లో మాది అదే పేరుతో వ్యాసార్థ సర్వర్ మరియు యాక్సెస్ పాయింట్ను సెటప్ చేస్తే, అతను వినియోగదారు ఆధారాలను సులభంగా అడ్డగించవచ్చు (అవి స్పష్టమైన వచనంలో ప్రసారం చేయబడతాయని మర్చిపోవద్దు). మరియు సర్టిఫికేట్ ఉపయోగించినప్పుడు, శత్రువు తన లాగ్లలో మన కల్పిత వినియోగదారు పేరు - అతిథి లేదా క్లయింట్ మరియు రకం లోపం - తెలియని CA సర్టిఫికేట్ మాత్రమే చూస్తాడు.
MacOS గురించి కొంచెం ఎక్కువసాధారణంగా MacOSలో, సిస్టమ్ను మళ్లీ ఇన్స్టాల్ చేయడం ఇంటర్నెట్ ద్వారా జరుగుతుంది. రికవరీ మోడ్లో, Mac తప్పనిసరిగా WiFiకి కనెక్ట్ చేయబడి ఉండాలి మరియు మా కార్పొరేట్ WiFi లేదా అతిథి నెట్వర్క్ ఇక్కడ పని చేయవు. వ్యక్తిగతంగా, నేను సాంకేతిక కార్యకలాపాల కోసం మాత్రమే దాచిన మరొక నెట్వర్క్, సాధారణ WPA2-PSKని పెంచాను. లేదా మీరు ఇప్పటికీ ముందుగానే సిస్టమ్తో బూటబుల్ USB ఫ్లాష్ డ్రైవ్ను తయారు చేయవచ్చు. గసగసాలు 2015 తర్వాత ఉంటే, మీరు ఇప్పటికీ ఈ ఫ్లాష్ డ్రైవ్ కోసం అడాప్టర్ను కనుగొనవలసి ఉంటుంది)
మూలం: www.habr.com