Баъзе мисолҳои ташкили WiFi корпоративӣ аллакай тавсиф шудаанд. Дар ин ҷо ман шарҳ медиҳам, ки чӣ гуна ман чунин ҳалли худро амалӣ кардам ва мушкилотеро, ки ҳангоми пайвастшавӣ ба дастгоҳҳои гуногун дучор шудам. Мо LDAP-и мавҷударо бо корбарони муқарраршуда истифода мебарем, FreeRadius-ро насб мекунем ва WPA2-Enterprise-ро дар контролери Ubnt танзим мекунем. Ҳама чиз оддӣ ба назар мерасад. Биёед мебинем…
Каме дар бораи усулҳои EAP
Пеш аз иҷрои вазифа, мо бояд муайян кунем, ки кадом усули аутентификатсияро дар ҳалли худ истифода мебарем.
Аз Википедиа:
EAP як чаҳорчӯбаи аутентификатсия аст, ки аксар вақт дар шабакаҳои бесим ва пайвастҳои нуқта ба нуқта истифода мешавад. Формат бори аввал дар RFC 3748 тавсиф шуда, дар RFC 5247 навсозӣ шудааст.
EAP барои интихоби усули аутентификатсия, интиқоли калидҳо ва коркарди он калидҳо тавассути плагинҳо бо номи усулҳои EAP истифода мешавад. Усулҳои зиёди EAP вуҷуд доранд, ки ҳам бо худи EAP муайян карда мешаванд ва ҳам онҳое, ки аз ҷониби фурӯшандагони инфиродӣ бароварда шудаанд. EAP қабати пайвандро муайян намекунад, он танҳо формати паёмро муайян мекунад. Ҳар як протоколе, ки EAP-ро истифода мебарад, протоколи инкапсули паёми EAP-и худро дорад.
Усулҳои худ:
- LEAP як протоколи хусусиест, ки аз ҷониби CISCO таҳия шудааст. Норасоиҳо пайдо шуданд. Дар айни замон барои истифода тавсия дода намешавад
- EAP-TLS дар байни фурӯшандагони бесим хуб дастгирӣ карда мешавад. Ин як протоколи бехатар аст, зеро он вориси стандартҳои SSL мебошад. Танзими муштарӣ хеле мураккаб аст. Илова ба парол ба шумо шаҳодатномаи муштарӣ лозим аст. Дар бисёр системаҳо дастгирӣ карда мешавад
- EAP-TTLS - дар бисёр системаҳо васеъ дастгирӣ карда мешавад, амнияти хубро бо истифода аз сертификатҳои PKI танҳо дар сервери аутентификатсия пешниҳод мекунад
- EAP-MD5 дигар стандарти кушода аст. Амнияти ҳадди ақалро пешниҳод мекунад. осебпазир, тасдиқи мутақобила ва тавлиди калидро дастгирӣ намекунад
- EAP-IKEv2 - дар асоси версияи 2-и Протоколи мубодилаи калиди Интернет. Аутентификатсияи мутақобила ва таъсиси калиди сеанси байни муштарӣ ва серверро таъмин мекунад
- PEAP як ҳалли муштараки CISCO, Microsoft ва RSA Security ҳамчун стандарти кушода мебошад. Дар маҳсулот васеъ дастрас аст, амнияти хеле хубро таъмин мекунад. Монанд ба EAP-TTLS, танҳо сертификатро дар тарафи сервер талаб мекунад
- PEAPv0/EAP-MSCHAPv2 - пас аз EAP-TLS, ин дуввумин стандарти васеъ истифодашаванда дар ҷаҳон аст. Муносибати муштарӣ ва сервер дар Microsoft, Cisco, Apple, Linux истифода мешавад
- PEAPv1/EAP-GTC - Cisco ҳамчун алтернатива ба PEAPv0/EAP-MSCHAPv2 сохта шудааст. Маълумоти аутентификатсияро ба ҳеҷ ваҷҳ муҳофизат намекунад. Дар OS Windows дастгирӣ намешавад
- EAP-FAST як усулест, ки аз ҷониби Cisco барои ислоҳи камбудиҳои LEAP таҳия шудааст. Маълумоти дастрасии ҳифзшударо (PAC) истифода мебарад. Комилан нотамом
Аз ҳамаи ин гуногунрангӣ, интихоби он ҳанӯз ҳам бузург нест. Усули аутентификатсия талаб карда шуд: амнияти хуб, дастгирӣ дар ҳама дастгоҳҳо (Windows 10, macOS, Linux, Android, iOS) ва дар асл, чӣ қадар соддатар бошад, ҳамон қадар беҳтар аст. Аз ин рӯ, интихоб ба EAP-TTLS дар якҷоягӣ бо протоколи PAP афтод.
Саволе ба миён меояд - Чаро PAP истифода мешавад? зеро вай паролҳоро ба таври равшан интиқол медиҳад?
Бале, дуруст аст. Муошират байни FreeRadius ва FreeIPA ҳамин тавр сурат мегирад. Дар ҳолати ислоҳ, шумо метавонед пайгирӣ кунед, ки чӣ гуна номи корбар ва парол фиристода мешавад. Бале, ва онҳоро бигзоред, танҳо шумо ба сервери FreeRadius дастрасӣ доред.
Шумо метавонед дар бораи чӣ гуна кор кардани EAP-TTLS бештар хонед
FreeRADIUS
FreeRadius дар CentOS 7.6 баланд мешавад. Дар ин ҷо ҳеҷ чизи мураккаб нест, мо онро ба таври муқаррарӣ муқаррар кардем.
yum install freeradius freeradius-utils freeradius-ldap -yАз бастаҳо версияи 3.0.13 насб шудааст. Охиринро гирифтан мумкин аст
Пас аз он, FreeRadius аллакай кор мекунад. Шумо метавонед сатрро дар /etc/raddb/users
steve Cleartext-Password := "testing"Дар реҷаи дебаг ба сервер оғоз кунед
freeradius -XВа пайвасти санҷиширо аз localhost созед
radtest steve testing 127.0.0.1 1812 testing123Мо ҷавоб гирифтем Гирифтани ID 115 аз 127.0.0.1:1812 то 127.0.0.1:56081 дарозии 20, ин маънои онро дорад, ки ҳама чиз хуб аст. Ба пеш.
Мо модулро пайваст мекунем лдап.
ln -s /etc/raddb/mods-available/ldap /etc/raddb/mods-enabled/ldapВа мо онро фавран иваз мекунем. Барои дастрасӣ ба FreeIPA ба мо FreeRadius лозим аст
mods-фаъол/ldap
ldap {
server="ldap://ldap.server.com"
port=636
start_tls=yes
identity="uid=admin,cn=users,dc=server,dc=com"
password=**********
base_dn="cn=users,dc=server,dc=com"
set_auth_type=yes
...
user {
base_dn="${..base_dn}"
filter="(uid=%{%{Stripped-User-Name}:-%{User-Name}})"
}
...Сервери радиусро аз нав оғоз кунед ва ҳамоҳангсозии корбарони LDAP-ро тафтиш кунед:
radtest user_ldap password_ldap localhost 1812 testing123
Таҳрири eap in mods-фаъол/eap
Дар ин ҷо мо ду мисоли eap илова мекунем. Онҳо танҳо дар сертификатҳо ва калидҳо фарқ мекунанд. Ман дар зер шарҳ медиҳам, ки чаро ин дуруст аст.
mods-фаъол/eap
eap eap-client { default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_file = ${certdir}/fisrt.key
certificate_file = ${certdir}/first.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}
eap eap-guest {
default_eap_type = ttls timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no max_sessions = ${max_requests}
tls-config tls-common {
private_key_passwotd=blablabla
private_key_file = ${certdir}/server.key
certificate_file = ${certdir}/server.crt
dh_file = ${certdir}/dh
ca_path = ${cadir}
cipher_list = "HIGH"
cipher_server_preference = no
ecdh_curve = "prime256v1"
check_crl = no
}
ttls {
tls = tls-common
default_eap_type = md5
copy_request_to_tunnel = no
use_tunneled_reply = yes
virtual_server = "inner-tunnel"
}
}Таҳрири минбаъда сомона фаъол/пешфарз. Ман ба бахшҳои иҷозатдиҳӣ ва аутентификатсия таваҷҷӯҳ дорам.
сомона фаъол/пешфарз
authorize {
filter_username
preprocess
if (&User-Name == "guest") {
eap-guest {
ok = return
}
}
elsif (&User-Name == "client") {
eap-client {
ok = return
}
}
else {
eap-guest {
ok = return
}
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
logintime
pap
}
authenticate {
Auth-Type LDAP {
ldap
}
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
pap
}Дар бахши ваколат, мо ҳама модулҳоеро, ки ба мо лозим нестанд, хориҷ мекунем. Мо факат лдапро мегузорем. Бо номи корбар тасдиқи муштариро илова кунед. Аз ин рӯ, мо дар боло ду мисоли eap илова кардем.
Мулти EAPГап дар он аст, ки ҳангоми пайваст кардани баъзе дастгоҳҳо мо сертификатҳои системаро истифода мебарем ва доменро муайян мекунем. Мо сертификат ва калиди мақомоти боэътимоди сертификат дорем. Шахсан, ба андешаи ман, чунин тартиби пайвастшавӣ осонтар аз партофтани шаҳодатномаи худидоракунии имзо дар ҳар як дастгоҳ аст. Аммо ҳатто бидуни шаҳодатномаҳои худ имзошуда рафтан имкон надошт. Дастгоҳҳои Samsung ва Android =< 6 версияи истифодаи сертификатҳои системаро намедонанд. Аз ин рӯ, мо барои онҳо як мисоли алоҳидаи eap-mehmonро бо сертификатҳои худ имзо мекунем. Барои ҳамаи дастгоҳҳои дигар мо eap-client-ро бо сертификати боэътимод истифода хоҳем кард. Номи корбар аз ҷониби майдони Anonymous ҳангоми пайваст кардани дастгоҳ муайян карда мешавад. Танҳо 3 арзиш иҷозат дода мешавад: Меҳмон, Мизоҷ ва майдони холӣ. Боқимонда ҳама партофта мешаванд. Инро дар сиёсатҳо танзим кардан мумкин аст. Каме дертар мисол меорам.
Биёед бахшҳои иҷозатдиҳӣ ва тасдиқкуниро дар сайти фаъол / нақби дохилӣ
сайти фаъол / нақби дохилӣ
authorize {
filter_username
filter_inner_identity
update control {
&Proxy-To-Realm := LOCAL
}
ldap
if ((ok || updated) && User-Password) {
update {
control:Auth-Type := ldap
}
}
expiration
digest
logintime
pap
}
authenticate {
Auth-Type eap-guest {
eap-guest
}
Auth-Type eap-client {
eap-client
}
Auth-Type PAP {
pap
}
ldap
}Баъдан, шумо бояд дар сиёсатҳо муайян кунед, ки кадом номҳоро барои воридшавии беном истифода бурдан мумкин аст. Таҳрир Policy.d/filter.
Шумо бояд сатрҳои ба ин монандро пайдо кунед:
if (&outer.request:User-Name !~ /^(anon|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Ва дар зер дар elsif арзишҳои заруриро илова кунед:
elsif (&outer.request:User-Name !~ /^(guest|client|@)/) {
update request {
Module-Failure-Message = "User-Name is not anonymized"
}
reject
}Акнун мо бояд ба директория гузарем чертиҳо. Дар ин ҷо шумо бояд калид ва сертификатро аз мақомоти боэътимоди сертификатсия гузоред, ки мо онро аллакай дорем ва бояд барои eap-mehmon сертификатҳои худ имзошуда тавлид кунем.
Параметрҳоро дар файл тағир диҳед ca.cnf.
ca.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "CA FreeRadius"Мо ҳамон арзишҳоро дар файл менависем server.cnf. Мо танҳо тағир медиҳем
номи умумӣ:
server.cnf
...
default_days = 3650
default_md = sha256
...
input_password = blablabla
output_password = blablabla
...
countryName = RU
stateOrProvinceNmae = State
localityNmae = City
organizationName = NONAME
emailAddress = [email protected]
commonName = "Server Certificate FreeRadius"Мо эҷод мекунем:
makeТайёр. Гирифтанд server.crt и server.key Мо аллакай дар боло дар eap-guest сабти ном кардаем.
Ва ниҳоят, биёед нуқтаҳои дастрасии худро ба файл илова кунем client.conf. Ман 7-тои онҳоро дорам. Барои он ки ҳар як нуктаро алоҳида илова накунем, мо танҳо шабакаеро, ки онҳо дар он ҷойгиранд, менависем (нуқтаҳои дастрасии ман дар VLAN-и алоҳида ҳастанд).
client APs {
ipaddr = 192.168.100.0/24
password = password_AP
}Назорати Ubiquiti
Мо дар контроллер як шабакаи алоҳида мебардорем. Бигзор он 192.168.2.0/24 бошад
Ба танзимот -> профил гузаред. Мо як нав эҷод мекунем:
Мо суроға ва порти сервери радиус ва пароли дар файл навишташударо менависем clients.conf:
Номи нави шабакаи бесим эҷод кунед. WPA-EAP (Enterprise) -ро ҳамчун усули аутентификатсия интихоб кунед ва профили радиуси сохташударо муайян кунед:
Мо ҳама чизро захира мекунем, муроҷиат мекунем ва идома медиҳем.
Муқаррар кардани мизоҷон
Биёед бо душвортарин оғоз кунем!
Windows 10
Мушкилот аз он иборат аст, ки Windows ҳанӯз намедонад, ки чӣ тавр ба WiFi корпоративӣ тавассути домен пайваст шавад. Аз ин рӯ, мо бояд сертификати худро ба мағозаи боэътимоди сертификатсия дастӣ бор кунем. Дар ин ҷо шумо метавонед ё худ имзошуда ё яке аз мақомоти сертификатсияро истифода баред. Ман дуюмро истифода мебарам.
Баъдан, шумо бояд пайвасти нав эҷод кунед. Барои ин, ба танзимоти шабака ва Интернет гузаред -> Маркази шабака ва мубодила -> Пайвастшавӣ ё шабакаи нав эҷод ва танзим кунед:
Номи шабакаро дастӣ ворид кунед ва намуди амниятро тағир диҳед. Пас аз он ки мо пахш мекунем танзимоти пайвастшавиро тағир диҳед ва дар ҷадвали Амният, аутентификатсияи шабака - EAP-TTLS -ро интихоб кунед.
Ба танзимот гузаред, махфияти аутентификатсияро муқаррар кунед - муштарӣ. Ҳамчун як мақоми боэътимоди сертификатсия, сертификатеро, ки мо илова кардем, интихоб кунед, қуттии "Даъват ба корбарро надиҳед, агар ба сервер иҷозат дода нашавад" -ро интихоб кунед ва усули аутентификатсия - пароли рамзнашуда (PAP) -ро интихоб кунед.
Сипас, ба параметрҳои иловагӣ гузаред ва қуттии "Режими аутентификатсияро муайян кунед" -ро қайд кунед. "Аютентификатсияи корбар" -ро интихоб кунед ва клик кунед эътимодномаро захира кунед. Дар ин ҷо шумо бояд username_ldap ва password_ldap-ро ворид кунед
Мо ҳама чизро захира мекунем, муроҷиат мекунем, пӯшем. Шумо метавонед ба шабакаи нав пайваст шавед.
Linux
Ман дар Ubuntu 18.04, 18.10, Fedora 29, 30 озмоиш кардам.
Аввалан, биёед сертификати худро зеркашӣ кунем. Ман дар Linux наёфтам, ки оё истифодаи сертификатҳои система имконпазир аст ё умуман чунин мағоза вуҷуд дорад.
Мо тавассути домен пайваст мешавем. Аз ин рӯ, ба мо сертификат аз мақомоти сертификатсия лозим аст, ки сертификати мо аз он харида шудааст.
Ҳама пайвастҳо дар як тиреза анҷом дода мешаванд. Шабакаи моро интихоб кунед:
беном - муштарӣ
домен - домене, ки барои он сертификат дода мешавад
андроид
ғайри Samsung
Аз версияи 7, ҳангоми пайваст кардани WiFi, шумо метавонед сертификатҳои системаро бо нишон додани танҳо домен истифода баред:
домен - домене, ки барои он сертификат дода мешавад
беном - муштарӣ
Samsung
Тавре ки ман дар боло навишта будам, дастгоҳҳои Samsung намедонанд, ки чӣ тавр истифода бурдани сертификатҳои системаро ҳангоми пайвастшавӣ ба WiFi истифода баранд ва онҳо имкони пайвастшавӣ тавассути доменро надоранд. Аз ин рӯ, шумо бояд ба таври дастӣ шаҳодатномаи решаи мақомоти сертификатсияро илова кунед (ca.pem, мо онро дар сервери Radius мегирем). Ин аст, ки худи имзо истифода мешавад.
Шаҳодатномаро ба дастгоҳи худ зеркашӣ кунед ва насб кунед.
Насб кардани сертификат
Ҳамзамон, ба шумо лозим меояд, ки намунаи кушодани экран, рамзи PIN ё паролро муқаррар кунед, агар он аллакай муқаррар нашуда бошад:
Ман версияи мураккаби насби сертификатро нишон додам. Дар аксари дастгоҳҳо, танҳо сертификати зеркашидашударо клик кунед.
Вақте ки сертификат насб карда мешавад, шумо метавонед ба пайвастшавӣ идома диҳед:
сертификат - шаҳодатномаи насбкардаатонро нишон диҳед
истифодабарандаи номаълум - меҳмон
MacOS
Дастгоҳҳои Apple аз қуттӣ метавонанд танҳо ба EAP-TLS пайваст шаванд, аммо шумо ба ҳар ҳол бояд ба онҳо сертификат партоед. Барои муайян кардани усули дигари пайвастшавӣ, шумо бояд Apple Configurator 2-ро истифода баред. Мувофиқи он, шумо бояд аввал онро ба Mac-и худ зеркашӣ кунед, профили нав эҷод кунед ва ҳама танзимоти WiFi-ро илова кунед.
Танзимгари Apple
Номи шабакаи худро дар ин ҷо ворид кунед
Навъи амният - Enterprise WPA2
Намудҳои қабулшудаи EAP - TTLS
Номи корбар ва парол - холӣ гузоред
Аутентификатсияи дохилӣ - PAP
Шахси берунӣ-муштарӣ
Ҷадвали эътимод. Дар ин ҷо мо домени худро муайян мекунем
Ҳама. Профилро метавон захира кард, имзо кард ва ба дастгоҳҳо тақсим кард
Пас аз омода кардани профил, шумо бояд онро ба Mac-и худ зеркашӣ кунед ва насб кунед. Дар ҷараёни насб, шумо бояд usernmae_ldap ва password_ldap-и корбарро муайян кунед:
IOS
Раванд ба macOS монанд аст. Шумо бояд профилро истифода баред (шумо метавонед ҳамонеро, ки барои macOS истифода баред. Чӣ тавр дар Apple Configurator профил эҷод кардан мумкин аст, ба боло нигаред).
Профилро зеркашӣ кунед, насб кунед, маълумотро ворид кунед, пайваст шавед:
Ҳамааш ҳамин. Мо сервери Radius таъсис додем, онро бо FreeIPA ҳамоҳанг сохтем ва ба AP-ҳои Ubiquiti гуфтем, ки WPA2-EAP-ро истифода баранд.
Саволҳои имконпазир
Дар: чӣ гуна профил/шаҳодатномаро ба корманд интиқол додан мумкин аст?
Дар бораи: Ман ҳама сертификатҳо/профилҳоро дар ftp бо дастрасии веб нигоҳ медорам. Шабакаи меҳмононро бо маҳдудияти суръат ва дастрасӣ танҳо ба Интернет, ба истиснои ftp, афзоиш дод.
Аутентификатсия 2 рӯз давом мекунад, пас аз он барқарор карда мешавад ва муштарӣ бе интернет мемонад. ки. вақте ки корманд мехоҳад ба WiFi пайваст шавад, вай аввал ба шабакаи меҳмонон пайваст мешавад, ба FTP дастрасӣ пайдо мекунад, сертификат ё профили ба ӯ лозимиро зеркашӣ мекунад, насб мекунад ва сипас метавонад ба шабакаи корпоративӣ пайваст шавад.
Дар: чаро схемаро бо MSCHAPv2 истифода набаред? Вай бехатартар аст!
Дар бораи: аввалан, ин схема дар NPS (Windows Network Policy System System) хуб кор мекунад, ҳангоми татбиқи мо ба таври илова танзим кардани LDAP (FreeIpa) ва нигоҳ доштани хэшҳои парол дар сервер зарур аст. Илова. Ин аст, тавсия дода намешавад, ки ба танзим дароред, зеро ин метавонад ба мушкилоти гуногун бо ҳамоҳангсозии системаи ултрасадо оварда расонад. Дуюм, ҳаш MD4 аст, бинобар ин он амнияти зиёдро илова намекунад
Дар: Оё имкон дорад, ки дастгоҳҳоро бо суроғаҳои Mac иҷозат диҳед?
Дар бораи: НЕ, ин бехатар нест, ҳамлакунанда метавонад суроғаҳои MAC-ро тағир диҳад ва аз ин рӯ, иҷозати суроғаҳои MAC дар бисёр дастгоҳҳо дастгирӣ намешавад.
Дар: Умуман барои ҳамаи ин шаҳодатномаҳо чӣ бояд кард? шумо метавонед бе онҳо ҳамроҳ шавед?
Дар бораи: сертификатҳо барои иҷозати сервер истифода мешаванд. Онхое. ҳангоми пайвастшавӣ дастгоҳ месанҷад, ки он серверест, ки ба он бовар кардан мумкин аст ё не. Агар ин тавр бошад, пас аутентификатсия идома меёбад, агар не, пайвастшавӣ баста мешавад. Шумо метавонед бидуни сертификатҳо пайваст шавед, аммо агар ҳамлагар ё ҳамсоя сервери радиус ва нуқтаи дастрасиро бо ҳамон ном бо мо дар хона насб кунад, вай метавонад ба осонӣ маълумотҳои корбарро боздошт кунад (фаромӯш накунед, ки онҳо дар матни равшан интиқол дода мешаванд). Ва ҳангоме ки сертификат истифода мешавад, душман дар гузоришҳои худ танҳо номи корбарии сохтаи моро хоҳад дид - меҳмон ё муштарӣ ва хатои навъи - Шаҳодатномаи номаълуми CA
каме бештар дар бораи macOSОдатан, дар macOS аз нав насб кардани система тавассути Интернет анҷом дода мешавад. Дар ҳолати барқарорсозӣ, Mac бояд ба WiFi пайваст бошад ва на WiFi корпоративии мо ва на шабакаи меҳмонон дар ин ҷо кор намекунанд. Шахсан ман шабакаи дигарро, WPA2-PSK-и муқаррарии пинҳоншударо танҳо барои амалиёти техникӣ ба вуҷуд овардам. Ё шумо инчунин метавонед як флеши USB-и пурборшавандаро бо система пешакӣ созед. Аммо агар кӯкнор пас аз соли 2015 бошад, ба шумо лозим меояд, ки барои ин флеш диски адаптер пайдо кунед)
Манбаъ: will.com