Wi-fi bejelentkezéssel és jelszóval minden felhasználó számára, savepearlharbor

Készítünk egy kényelmes rendszert, amelyet a vállalati hálózatokban használunk, de teljes mértékben rögtönzött eszközökkel, minimális pénzügyi és hardverbefektetésekkel. Ezt a biztonsági szolgálat és a menedzsment hagyja jóvá.

terminológia

• Nyitott - mindenki számára elérhető
• WEP - régi titkosítás. Már egyáltalán megesik a kopasz folt, hogy egyáltalán nem megfelelő
• WPA - Használja a TKIP titkosítási protokollt
• WPA2 - AES titkosítást használnak

És most fontolja meg, hogy a hozzáférési pont miként tudja önmagában a hozzáférést a hálózathoz, vagy sem:

• WPA-PSK, WPA2-PSK - a hozzáférési kulcs maga a pont.
• WPA-EAP, WPA2-EAP - a hozzáférési kulcsot ellenőrizzük egy külső kiszolgálón lévő távoli adatbázis ellen

A hálózat általános terve

A vizuális megértés érdekében általános áttekintést adunk a jövőbeli programunk munkájáról:

• Ubiquiti Access Point NanoStation M2
• Gentoo szerver és Freeradius
• Ügyfélberendezés telepített szoftverekkel Windows 7, Android, iOS

Hozzáférési pont konfigurálása

RADIUS szerver

Menjünk a Linux számítógépünkre és telepítsük a RADIUS szervert. Vettem freeradiust, és felvette a gentoo-ra. Meglepetésemre, a Runet-ban nincsenek olyan anyagok, amelyek a Freeradius 2 konfigurációjához kapcsolódtak. Valamennyi cikk meglehetősen régi, lásd a szoftver régi verzióit.

Minden :) A RADIUS szerver már dolgozik :) Ezt ellenőrizheti:

Ez hibakeresési mód. Minden információ a konzolra esik. Folytatjuk a felállítását.
Mint a Linux esetében, a konfiguráció a konfigurációs fájlokon keresztül történik. A konfigurációs fájlok az / etc / raddb fájlban vannak tárolva. Tegyünk előkészítő intézkedéseket - másolja a kezdeti konfigurációkat, tisztítsa meg a szemetet.

Ezután adja hozzá az ügyfél-hozzáférési pontot. Adja hozzá a következő sorokat az / etc / raddb / clients fájlhoz:

Ezután adj hozzá domaineket a felhasználóknak. Tegyük az alapértelmezettet.

Domainek a RADIUS-ban

Itt meg kell jegyeznünk, hogy a felhasználókat domainenként oszthatja meg. Nevezetesen, a domain név megadható a felhasználónév formátumban (például felhasználó @ sugár). DEFAULT minden olyan nem definiált domain. NULL - domain nélkül. A domaintől függően (a felhasználói név előtagját meg lehet adni) különböző műveleteket hajthat végre, például megadhatja a hitelesítéshez való jogot egy másik gazda számára, függetlenül attól, hogy a bejelentkezés ellenőrzése alatt elkülöníti a nevet a tartománytól.

Végül adja hozzá a felhasználókat az / etc / raddb / users fájlhoz:

Uh, elkezdheted!

A szerverünk fut és csatlakozásra vár!

Ügyfelek konfigurálása

Futtassuk át a fő felhasználói eszközök konfigurációját. Munkatársainknak vannak ügyfelei az Android, az iOS és a Windows 7 rendszeren. Beszéljünk azonnal: mivel saját készítésű tanúsítványokat használunk, több kivételt kell végrehajtanunk, és több lépést is meg kell erősítenünk. Ha vásárolt bizonyítványokat használtunk, talán minden könnyebb lenne.

Minden dolog könnyebb az iOS-eszközökön. Adja meg bejelentkezési nevét és jelszavát, kattintson a "Tanúsítvány elfogadása" gombra, és menjen előre.

Némileg keményebb megjelenésű, de a gyakorlatban mindent csak az Androidon talál. Kevesebb mező van megadva.

Képernyőkép Android-ról

Nos, a Windows 7 jön egy kicsit építeni. A következő lépéseket hajtjuk végre:
A vezeték nélküli kapcsolatok középpontjába kerülünk.

1. Állítsa be a szükséges paramétereket a vezeték nélküli kapcsolat tulajdonságaiban
2. Adja meg a szükséges paramétereket az EAP speciális beállításaiban
3. Adja meg a szükséges paramétereket a speciális beállításokban
4. Csatlakoztatjuk a tálcán a Wi-Fi hálózathoz, belépünk egy bejelentkezési jelszóhoz, hozzáférünk a Wi-Fi hálózathoz

Ezután bemutatom a párbeszédablakok képernyőképeit kifejezetten azoknak az embereknek, akik úgy néznek ki, mint nekem, akiknek a szeme szétszóródott a Windows párbeszédablakokban.

1. lépés

2. lépés

3. lépés

4. lépés

5. lépés

Most van egy probléma - ha hozzá akarsz adni - törölni egy új felhasználót, meg kell változtatnod a felhasználókat, és újra kell indítani a sugarait. Ennek elkerülése érdekében összekapcsoljuk az adatbázist, és elkészítjük a saját mini-számláját a felhasználók számára. Az adatbázis használatával mindig egyszerű szkriptet rajzolhat a felhasználó jelszavának hozzáadásához, lezárásához és módosításához. És mindez megtörténik anélkül, hogy leállítaná az egész rendszert.

Magamnak, a Postgres-t használtam, önmagaddal választhatok. A Postgres alapvető konfigurációját hozom fel, anélkül, hogy különféle engedélyeket, jelszavakat és más trükköket és használhatóságot kellene megtenni.

Először létrehozzuk az adatbázist:

Ezután létre kell hoznia a szükséges táblákat. Általánosságban a Freeradius-nal a különböző adatbázisok tábláinak sémáját dokumentálják, bár különböző terjesztésekben különböző helyeken vannak. Ezt személyesen az /etc/raddb/sql/postgresql/schema.sql címen találom meg. Csak illessze be ezeket a sorokat psql-be, vagy csak futtassa

Csak abban az esetben adom hozzá a Postgres programot:

Rendszer a Postgres számára

Nagyszerű, az alap kész. Most Freeradiusról van szó.
Adja hozzá, ha nincs ott, a /etc/raddb/radiusd.conf sorban

Most módosítsd /etc/raddb/sql.conf a valóságodra. Számomra úgy néz ki, mint:

Adjon hozzá néhány új felhasználót test1, test2, test3 és ... block test3-hoz

Nos, újraindítjuk a freeradiust, és megpróbálunk csatlakozni. Mindannyian működnie kell!

Az utolsó részben összegyűjtöttük a saját kis számlázásunkat! A kép teljességének érdekében a WEB-kezelőfelület adatbázishoz csatolva, havonta egyszer kötelező jelszóváltozást kell hozzáadni a koronán. És ha a tanúsítvány és a Wi-Fi hozzáférési pont vezérlője még mindig csődbe kerül, akkor a kezében van egy teljes körű vállalati vezeték nélküli hálózat. De anélkül, hogy ezeket a költségeket és a kis erőfeszítéseket az Ön részéről azáltal hozná, hogy a felhasználók ilyen hozzáférést biztosítanak, sok mindent megköszönnek.