Vom face o schemă convenabilă care este utilizată în rețele corporative, dar complet de la mijloace improvizate, cu investiții financiare și hardware minime. Acesta va fi aprobat de serviciul de securitate și de management.
terminologie
- Deschis - disponibil tuturor
- WEP - veche criptare. Deja la toate patch-uri chel este mâncat despre faptul că este inadecvat să-l utilizați deloc
- WPA - Utilizați TKIP ca protocol de criptare
- WPA2 - se utilizează criptarea AES
Iar acum ia în considerare opțiunile privind modul în care punctul de acces se știe însuși dacă este posibil să se acorde utilizatorului accesul la rețea sau nu:
- WPA-PSK, WPA2-PSK - cheia pentru acces este în același punct.
- WPA-EAP, WPA2-EAP - cheia de acces este verificată împotriva unei anumite baze de date la distanță de pe un server terță parte
Schema generală a rețelei
Pentru o înțelegere vizuală, să oferim o schemă generală a lucrării viitorului nostru sistem:
- Ubiquiti Access Point NanoStation M2
- Gentoo Server și Freeradius
- Echipamente client cu software instalat Windows 7, Android, iOS
Configurarea unui punct de acces
Server RADIUS
Să mergem la computerul nostru Linux și să instalăm serverul RADIUS. Am luat freeradius și am pus-o pe gentoo. Spre surprinderea mea, în runet nu există materiale legate de configurația lui Freeradius 2 în scopurile noastre. Toate articolele sunt destul de vechi, se referă la versiunile vechi ale acestui software.
Totul :) Serverul RADIUS poate funcționa deja :) Puteți verifica astfel:
Acesta este modul de depanare. Toate informațiile cade pe consola. Continuăm să-l punem în scenă.
Ca și în cazul Linux, configurația se face prin fișiere de configurare. Fișierele de configurare sunt stocate în / etc / raddb. Să facem acțiuni pregătitoare - copiați configiile inițiale, curățați configurația oricărui gunoi.
Apoi adăugați punctul de acces al clientului. Adăugați următoarele linii în fișierul / etc / raddb / clients:
Apoi, adăugați un domeniu pentru utilizatori. Să facem implicit.
Domenii în RADIUS
Aici trebuie remarcat faptul că puteți împărți utilizatorii pe domenii. Anume, numele de domeniu poate fi specificat în formatul de nume de utilizator (de exemplu, user @ radius). DEFAULT înseamnă orice domeniu nedefinit. NULL - fără domeniu. În funcție de domeniu (puteți spune prefixul în numele de utilizator), puteți efectua diferite acțiuni, cum ar fi dreptul de autentificare la o altă gazdă, separarea numelui de domeniu în timpul verificării de autentificare etc.
În final, adăugați utilizatori în fișierul / etc / raddb / users:
Uh, poți începe!
Serverul nostru rulează și așteaptă conexiuni!
Configurați clienții
Să trecem prin configurația dispozitivelor principale de utilizator. Angajații noștri au clienți care lucrează pe Android, iOS și Windows 7. Să vorbim imediat: deoarece folosim certificate create de noi, trebuie să facem diverse excepții și să confirmăm acțiunile de mai multe ori. Dacă am folosi certificate achiziționate, poate că totul ar fi mai ușor.
Toate lucrurile sunt mai ușor pe dispozitivele iOS. Introduceți numele dvs. de utilizator și parola, faceți clic pe "Acceptați certificatul" și continuați.
Ușor mai greu arata, dar în practică totul este de asemenea doar pe Android. Există puține câmpuri de intrare.
Captură de ecran de la Android
Ei bine, pe Windows 7 va veni un pic de construit. Vom implementa următorii pași:
Mergem la centrul conexiunilor fără fir.
- Setați parametrii necesari în proprietățile conexiunii fără fir
- Setați parametrii necesari în setările avansate ale EAP
- Setați parametrii necesari în setările avansate. Parametri suplimentari
- Conectăm în bara de activități la rețeaua Wi-Fi și introducem o parolă de conectare, beneficiind de acces la Wi-Fi
Apoi, voi prezenta capturi de ecran ale casetelor de dialog special pentru persoanele care arata ca mine, ale caror ochi sunt imprastiati din casete de dialog Windows.
Pasul 1
Pasul 2
Pasul 3
Pasul 4
Pasul 5
Acum există o problemă - dacă doriți să adăugați-ștergeți un utilizator nou, va trebui să schimbați utilizatorii și să reporniți raza. Pentru a evita acest lucru, conectăm baza de date și realizăm propriile mini-facturare pentru utilizatori. Folosind baza de date, puteți schița întotdeauna un script simplu pentru a adăuga, a bloca, a schimba parola utilizatorului. Și toate acestea se vor întâmpla fără a opri întregul sistem.
Pentru mine, am folosit Postgres, puteți alege singuri. Eu aduc configurația de bază a Postgres, fără a intra în diverse permisiuni, parole și alte trucuri și utilizabilitate.
Mai întâi, vom crea baza de date:
Apoi trebuie să creați tabelele necesare. În general, cu Freeradius există o documentație cu privire la schema de tabele pentru diferite baze de date, deși în diferite distribuții se află în locuri diferite. Eu personal am acest lucru în /etc/raddb/sql/postgresql/schema.sql. Doar lipiți aceste linii în psql sau pur și simplu alergați
Doar în caz, voi adăuga aici schema pentru Postgres:
Schema pentru Postgres
Mare, baza este pregătită. Acum vorbim de Freeradius.
Adăugați, dacă nu există, în linia /etc/raddb/radiusd.conf
Acum, editați /etc/raddb/sql.conf pentru realitatea dvs. La mine se pare ca:
Adăugați câțiva utilizatori noi la test1, test2, test3 și ... blocați test3
Ei bine, vom reporni freeradius și vom încerca să ne conectăm. Ar trebui să funcționeze!
În ultima secțiune am colectat factura noastră mică! Rămâne de dragul de completă a imaginii pentru a atașa o bază de date interfață WEB-management, adăugați o schimbare obligatorie a parolei o dată pe lună pe coroană. Și dacă certificatul și controlerul punctului de acces Wi-Fi continuă să fie în stare de faliment, atunci aveți o rețea fără fir corporativă cu drepturi depline în mâinile dvs. Dar chiar și fără aceste costuri și cu puțin efort din partea dvs., făcând accesul utilizatorilor dvs., vă vor mulțumi foarte mult.
Trimiteți-le prietenilor: