Moj cilj: Kreirati WiFi EAP konfiguraciju uključujući CA certifikat u android programu.
Problem: Kako da programski instaliram CA certifikat (i da onda referenciram taj certifikat u WiFi EAP konfiguraciji)?
Međutim, ovo pretpostavlja da ste već instalirali CA certifikat na uređaj. Želio bih da instaliram certifikat u svoju aplikaciju - bilo iz resursa u aplikaciji ili poslano sa servera.
Moguće je? (Root in u ovom slučaju nije opcija). Ako da, kako?
Dodatne informacije...
Također sam pronašao način da dodam certifikat u KeyStore:
Međutim, ovo se koristi posebno za kreiranje sigurne utičnice i povezivanje preko HTTPS-a. Želim koristiti certifikat za WiFi.
Nažalost, tek trebam pronaći način da instaliram CA certifikat programski - iz aplikacije.
Međutim, moguće je instalirati certifikat putem web pretraživača u Androidu. Dakle, rješenje (na ovog trenutka) je kako slijedi: Pokrenite namjeru za otvaranje URL-a u web pretraživaču koji se šalje direktno na CA certifikat.
Ovo funkcionira, ali postoje neki problemi:
- Korisnik mora dati certifikat. Ovo je problem jer programski dodajemo WiFi konfiguraciju. Stoga moramo tražiti od korisnika da nam dostavi certifikat sa istim imenom.
- Korisnik mora unijeti lozinku. Ako nema lozinku, korisnik će je kreirati i uneti je dva puta. Ako su postavili sigurnosnu lozinku, korisnik će morati zapamtiti istu lozinku i unijeti je.
- Pod pretpostavkom da je korisnik uspješno završio ove korake, ostaje zaglavljen u pretraživaču.
To dovodi do nekoliko pitanja:
- Da li iz moje aplikacije postoji način da se nametne naziv sertifikata koji je instalirao korisnik preko pretraživača?
- Iz moje aplikacije, postoji li način da saznam kada je instalacija certifikata završena i da se zatim vrati fokus na moju aplikaciju?
Samo me obavijestite ako trebate pojašnjenje.
3 odgovora
Ne možete ga direktno instalirati jer nesistemske aplikacije nemaju pristup skladištu ključeva. Postoji API u ICS-u za ovaj KeyChain.createInstallIntent () koji će pokrenuti sistemski dijalog pitajući korisnika da li želi da instalira certifikat. Na pre-ICS-u, možete postići isto pokretanjem namjere instalacije direktno koristeći naziv komponente (ovo može, ali ne mora raditi na svim uređajima). Prolazak kroz pretraživač je zapravo rješenje za isto.
Vezano za vaša pitanja:
- ne možete specificirati/forsirati ime. Zašto vas zanima pravo ime?
- Ne baš preko pretraživača. Ako koristite namjeru sistema, možete se vratiti na svoju aktivnost i dobiti povratni poziv ako koristite startActivityForResult ().
Trenutno tražim rješenja za iste probleme. Najbolje što sam našao je KeyChain.choosePrivateKeyAlias () koji omogućava korisniku da odabere koji će certifikat koristiti za SSL. Odatle možete dobiti pseudonim i proslijediti ga korporativnoj wifi konfiguraciji.
U prvom dijelu smo naučili zašto bi kompanije trebale koristiti Enterprise Wi-Fi zaštićeni pristup (WPA ili WPA2) umjesto Personal (PSK) način rada. Saznali smo da 802.1X autentifikacija u Enterprise modu zahtijeva korištenje RADIUS servera koji je uključen u Windows Server.
Već smo instalirali i konfigurisali Certificate Service u Windows Server 2008. U ovom dijelu ćemo nastaviti sa instalacijom i konfiguracijom Network Policy i Access Services. Zatim ćemo konfigurisati bežične kontrolere i/ili pristupne tačke (AP) da koriste enkripciju kao i RADIUS postavke. Zatim ćemo konfigurisati klijentske računare. Konačno, možemo se povezati.
Instaliranje uloga mrežne politike i usluga pristupa
V prethodne verzije Windows Server je omogućio RADIUS funkcionalnost uz Internet Authenticate Service (IAS). Počevši od Windows Server 2008, obezbjeđuju ga Network Policy and Access Services. Ovo uključuje stare IAS usluge zajedno sa novom NAP komponentom.
U prozoru početno podešavanje (Početni zadaci konfiguracije) pomaknite se prema dolje i odaberite Dodajte uloge... Ako ste zatvorili i minimizirali ovaj prozor, kliknite na Start> Server Manager, izaberite Uloge i kliknite na Dodaj uloge.
Molimo odaberite Mrežna politika i usluge pristupa(slika 1) i pritisnite Dalje.
Slika 1: Odabir instalacije uloga mrežne politike i usluga pristupa
Odaberite sljedeće (slika 2):
- Server mrežnih politika
- Serveri za usmjeravanje i daljinski pristup
- Usluge daljinski pristup(Usluge daljinskog pristupa)
- Routing
.gif)
Slika 2: Odabir instaliranja prve četiri opcije
Sada možete početi konfigurirati NPS za RADIUS funkciju: kliknite Počni, unesite nps.msc i pritisnite Enter.
Za opciju Standardna konfiguracija(Standardna konfiguracija) odaberite opciju RADIUS server za 802.1X Wireless ili žične veze(RADIUS server za 802.1X bežične ili žičane veze)(Slika 3) iz padajućeg menija.
Slika 3: Odabir RADIUS servera za 802.1X
Kliknite na Konfigurirajte 802.1X.
Za tip veze 802.1X odaberite Sigurne bežične veze(slika 4) i pritisnite Dalje.
Slika 4: Odabir bežične sigurnosti
Za svaki bežični kontroler i/ili pristupnu tačku kliknite Dodati, stvoriti novi ulaz RADIUS klijent. Kao što je prikazano na slici 5, potrebno je da obezbedite prijateljska imena koja će vam pomoći da ih identifikujete između ostalih, IP ili DNS adrese i Shared Secret.
Slika 5: Unos informacija za bežični kontroler ili pristupnu tačku
Ove zajedničke tajne su ključne za autentifikaciju i šifriranje. Neka budu dugačke i složene kao lozinke. Moraju biti jedinstveni za svaki kontroler/AP. Kasnije ćete morati unijeti iste zajedničke tajne za odgovarajuće kontrolere/AP-ove. Ne zaboravite da ih čuvate u tajnosti, čuvajte ih na sigurnom mjestu.
Za Metod provjere autentičnosti odaberite Microsoft zaštićen EAP (PEAP) pošto ćemo koristiti PEAP.
Kliknite na dugme melodija", odaberite prethodno generirani certifikat i kliknite uredu.
U prozoru za određivanje korisničkih grupa (slika 6) kliknite Dodati.
Slika 6: Dodavanje korisničkih grupa koje će se moći povezati
U dijalozima za odabir grupe unesite grupe ili kliknite Napredno da potražite dostupne grupe. Ako niste kreirali dodatne grupe, možda ćete morati odabrati Korisnici domena za korisničku dozvolu i Domain Computers za autentifikaciju strojeva ako ih vaši kontroleri / AP podržavaju. Ako dobijete grešku u kojoj se navodi da domena ne postoji, ponovo pokrenite Active Directory server Usluge domena i pokušajte ponovo.
Nakon dodavanja prave grupe kliknite Dalje nastaviti.
U prozoru VLAN postavke(Slika 7) ako vaša mreža (prekidači i kontroleri / AP) podržava VLAN i oni su konfigurisani, kliknite melodija" za postavljanje VLAN funkcije.
Slika 7: Kliknite na dugme Konfiguriši da biste definisali VLAN parametre
Pregledajte opcije i kliknite Spreman.
Konfiguriranje bežičnih kontrolera i/ili pristupnih tačaka
Vrijeme je da postavite svoje bežične kontrolere ili pristupne tačke (AP). Pokrenite web interfejs unosom IP adrese pristupnih tačaka ili kontrolera u pretraživač. Zatim idite na bežične postavke.
Molimo odaberite WPA-Enterprise ili WPA2-Enteprise... Za vrstu šifriranja odaberite TKIP ako koristite WPA ili AES ako koristite WPA2... Zatim unesite IP adresu RADIUS servera, koja bi trebala biti novokonfigurirana Windows mašina Sever. Unesite zajedničku tajnu kreiranu ranije za ovaj kontroler / AP. Sačuvajte parametre.
Instaliranje CA certifikata na klijentske mašine
U prvom dijelu ove serije kreirali ste vlastito tijelo za izdavanje certifikata (CA) i certifikat servera. Stoga morate instalirati CA na svim klijentskim računarima. U ovom slučaju, klijent može potvrditi server prije prolaska kroz autentifikaciju.
Ako koristite mrežu domene Active Directory, možda ćete morati primijeniti ovaj certifikat pomoću grupna politika... Međutim, možete ga instalirati i ručno.
Za pregled i upravljanje certifikatima u Windows Serveru 2008, pozovite Upravitelj certifikata. Ako ste ovaj MMC sačuvali na svom računaru u prvom dijelu, otvorite ga. U suprotnom, ponovite ove korake:
- Kliknite na Počni, unesite MMC i pritisnite Enter.
- U prozoru MMC konzole odaberite File>Dodajte ili uklonite snap-in.
- Molimo odaberite Certifikati i pritisnite Dodati.
- Molimo odaberite Račun računara i pritisnite Dalje.
- Molimo odaberite Lokalni kompjuter, kliknite Spreman i uredu.
Sada proširite Certifikati (lokalni Račun računar (Lokalni račun računara)), proširiti Lični i pritisnite Certifikati.
Kao što je prikazano na slici 8, kliknite desni ključ na certifikat čija vrijednost Issued To završava s CA, idite na stavku Svi zadaci i odaberite izvoz"... Zatim slijedite upute u čarobnjaku za izvoz. Kada čarobnjak zatraži da ne izvozite privatni ključ radije koristite DER format. Možda ćete morati da ga izvezete na USB stick kako biste ga mogli ponijeti sa sobom na svoje klijentske mašine.
Sada na klijentskim računarima, dvaput kliknite na sertifikat i kliknite na dugme Instalirajte certifikat(Slika 9). Koristite čarobnjak za uvoz certifikata u prodavnicu Pouzdani autoriteti za korijenske certifikate.
Slika 9: Instaliranje CA certifikata na klijentu.
Konfigurisanje mrežnih postavki na klijentskim računarima
Sada možete konfigurirati mrežne parametre. Kao i kod instaliranja sertifikata, možete preneti mrežne postavke klijentima pomoću smernica grupe ako ste na mreži domena Active Directory. Međutim, možete i ručno konfigurirati klijente, kao u našem slučaju za Windows XP, Vista i 7.
Prvo, ručno kreirajte mrežni profil ili željeni mrežni unos. Za Vrsta sigurnosti izabrati WPA-Enterprise ili WPA2-Enteprise... Za Vrsta šifriranja izabrati TKIP ako koristite WPA ili AES ako koristite WPA2.
Otvorite mrežni profil i odaberite marker Sigurnost(na Visti i 7) ili Autentifikacija(u XP). U XP-u označite tu opciju Omogućite IEEE 802.1x autentifikaciju za ovu mrežu.
Za Metoda mrežne autentifikacije(na Visti i 7, kao što je prikazano na slici 10) ili EAP Type(u XP), odaberite Zaštićeni EAP (PEAP)... U XP-u također poništite okvire na dnu prozora.
Slika 10: Odabir PEAP-a za metodu provjere autentičnosti
U operativnom sistemu Windows 7 (samo), kliknite Napredne postavke na kartici Sigurnost. Zatim u prozoru dodatni parametri provjerite opciju Odredite način provjere autentičnosti, izaberite Autentifikacija korisnika i pritisnite uredu za povratak na karticu sigurnosti.
Kliknite na dugme Opcije(na Visti i 7) ili Svojstva(u XP).
U dijalogu Protected EAP Properties, pratite ove korake (Slika 11):
- Provjerite prvu opciju, Potvrdi server.
- Provjerite drugu opciju, Povežite se na ove servere, i unesite puna imena server računari. Ako je potrebno, dvaput kliknite na njega u Windows Serveru odabirom Start> Server Manager.
- U okviru sa listom Pouzdani Root Certification Authorities odaberite CA certifikat koji ste uvezli.
- Molimo odaberite Osigurana lozinka (EAP-MSCHAP v2) za metod autentifikacije.
Slika 11: Konfiguriranje PEAP svojstava
- Kliknite na dugme Tune... Ako radite na mreži domena sa Active Directory-om, bolje je provjeriti ovu opciju. U suprotnom, poništite ovu opciju kako biste mogli unijeti svoje korisničko ime i lozinku prilikom povezivanja na mrežu.
Konačno, kliknite na OK u prozoru za dijalog da sačuvate postavke.
Konačno, priključite se i uključite se!
Kada su server, AP i klijenti konfigurisani, morate pokušati da se povežete.
Na klijentskom računaru izaberite mrežu sa liste dostupnih mrežne veze... Ako niste konfigurisali klijenta da automatski koristi Windows prijavu, moraćete da unesete svoje akreditive za prijavu, kao što je prikazano na slici 12. Koristite nalog na Windows Serveru koji pripada grupi koja je ranije konfigurisana u odjeljku instalacija mrežnih politika i usluga pristupa . Ako ste odabrali grupu korisnika domene, administratorski nalog bi trebao biti dozvoljen prema zadanim postavkama.
Slika 12: Prozor za prijavu.
Zaključak
Sada biste trebali imati 802.1X autentificiranu mrežu i Zaštita preduzeća enkripciju, zahvaljujući Windows Serveru 2008 i RADIUS funkcionalnosti koju pruža. Konfigurisali smo server, bežične AP-ove i klijente da koriste PEAP autentifikaciju. Krajnji korisnici će se moći prijaviti koristeći svoje račune.
Za upravljanje postavkama RADIUS servera kao što je dodavanje ili uklanjanje AP-ova, koristite uslužni program Network Policy Server: kliknite Počni>Svi programi> Administrativni alati>Server mrežnih politika.
RoS verzija 6.39rc27
Per WiFi zaštita Mikrotik mreže odgovaraju na tri kartice: Lista pristupa(/interfejs bežični pristup-list), Connect List(/interfejs wireless connect-list), Sigurnosni profili(/ sučelje bežičnih sigurnosnih profila).
Lista pristupa - lista pravila koja ograničavaju veze drugih uređaja do vaše tačke, a služe i za upravljanje parametrima veze. (ap mod).
Primer: želite da ograničite vezu sa vašom pristupnom tačkom MAC adresama.
Connect List- lista pravila koja ograničavaju vezu vaš uređaj na druge pristupne tačke(način rada stanice).
Primer: želite da automatski povežete svoju klijentsku stanicu na pristupnu tačku sa maksimalnom jačinom signala (ako imate više baznih stanica).
Sigurnosni profili - konfigurišu se profili metoda zaštite i direktno sigurnosni ključevi bežične mreže.
Sigurnosni profili
Počnimo sa zabavnim dijelom - Sigurnosni profili. Ovdje smo postavili enkripciju za naše bežične tačke... Postavka će se izvršiti za kućnu ili kancelarijsku pristupnu tačku. Sigurnosni profil se postavlja direktno na svojstva bežičnog interfejsa.
Kada odete na karticu / interfejs bežičnih sigurnosnih profila vidimo sljedeću sliku.
Možete dodati svoj profil, ja uvijek koristim standardni - zašto ne nestanete =).
General tab.
Ime- ime profila.
Ako koristimo standardni profil- ostavljamo kao podrazumevano.
Mode- način šifriranja.
- nijedan- ne koristi se šifriranje. Šifrovani okviri se ne prihvataju. Široko se koristi u sistemima pristup za goste poput pružanja interneta u kafiću ili hotelu. Da biste se povezali, trebate samo znati naziv bežične mreže.
- static-keys-required- WEP mod. Nemojte primati niti slati nešifrirane okvire. Kompromitovan protokol. Ne može se koristiti, ili u ekstremnim slučajevima (za starije uređaje). Glavni članak je.
- static-keys-opciono- WEP mod. Podržava šifriranje i dešifriranje, ali vam također omogućava primanje i slanje nešifriranih okvira. Ne može se koristiti, ili u ekstremnim slučajevima (za starije uređaje). Glavni članak je.
- dinamički ključevi- WPA mod.
Da biste osigurali svoju bežičnu mrežu UVIJEK koristite režim dinamički ključevi.
Razlika između WPA2-PSK i WPA2-EAP je odakle potiču ključevi za šifrovanje koji se koriste u mehanici AES algoritma. Za privatne (kućne, male) aplikacije koristi se statički ključ (lozinka, kodna riječ, PSK (Pre-Shared Key)) minimalne dužine od 8 znakova, koji je specificiran u postavkama pristupne točke i isti je za sve klijentima ove bežične mreže. Kompromitovanje takvog ključa (propuštanje komšije, otpuštanje radnika, ukraden laptop) zahteva momentalnu promenu lozinke za sve preostale korisnike, što je realno samo u slučaju malog broja njih. Za korporativne aplikacije, kao što ime govori, koristi se dinamički ključ koji je individualan za svakog klijenta koji trenutno radi. Ovaj ključ se može periodično ažurirati tokom rada bez prekida veze, a za njegovu generaciju odgovorna je dodatna komponenta - autorizacijski server, a gotovo uvijek radi se o RADIUS serveru.
Ne koristimo RADIUS server, naši zaposleni su pričljivi, ali često mijenjamo i lozinke, pa je naš izbor WPA2-PSK. Ostavljamo kvačicu samo na njemu, svi ostali "nebezbedni" protokoli su onemogućeni.
Unicast Ciphers- izbor vrste enkripcije. Klijenti će se moći povezati na vašem mjestu ako podržavaju ovu vrstu enkripcije. Podržana dva tipa tkip i aes-ccm... AES je moderan i sigurniji algoritam. Usklađen je sa standardom 802.11n i pruža velike brzine prijenosa podataka. TKIP je zastario. On poseduje više nizak nivo sigurnost i podržava brzine prijenosa podataka do 54 Mbps. Osim toga, standard CCM algoritma zahtijeva korištenje novih privremenih ključeva za svaku novokreiranu sesiju, što je plus za sigurnost.
Koristimo samo aes-ccm.
Grupne šifre- izbor vrste enkripcije. Vaša stanica će pokušati da se poveže samo na one pristupne tačke koje podržavaju ovu vrstu šifrovanja. Opis se ne razlikuje od prethodnog parametra.
Koristimo samo aes-ccm.
WPA-Pre-Shared Key, WPA2 Pre-Shared Key - ključna vrijednost. Za postavljanje lozinke koristite brojeve, gornja slova I mala slova, Posebni simboli(%, *, @, #, $, ~). Ne zaboravite redovno mijenjati lozinku (na primjer, svakih 15 dana). Mikrotiku je dozvoljeno da to radi sa skriptom, moja lozinka se mijenja u 10 ureda u isto vrijeme, ako ste zainteresovani mogu to opisati u posebnom članku.
Koristimo složenu lozinku.
Identitet molioca- EAP identifikator koji šalje klijent na početku EAP autentifikacije. Ova vrijednost se koristi kao vrijednost za atribut Korisničko ime u RADIUS porukama.Ne koristimo WPA2-EAP - zanemarujemo vrijednost.
Ažuriranje grupnog ključa- vrijeme koliko često treba ažurirati ključ za šifriranje. Funkcija ne radi u načinu rada stanice. U stvari, možete promijeniti vrijednost u slučaju nerazumljivih deponija uređaja (na primjer, Android pametnih telefona kada pređu u stanje pripravnosti).Ostavite zadanu vrijednost - 5 minuta.
Zaštita menadžmenta- zaštita od deautentifikacije i napada kloniranja MAC adrese. Mikrotikov vlastiti algoritam za zaštitu bežične mreže.
- onemogućeno- kontrolna zaštita je isključena.
- dozvoljeno- dozvoliti korištenje zaštite, ako je podržava udaljena strana.
- potrebno- potrebno. Za baznu stanicu uspostavite komunikaciju samo sa klijentima koji podržavaju zaštitu upravljanja. Za klijente - uspostavite komunikaciju samo sa pristupnim tačkama koje podržavaju zaštitu upravljanja.
Ključ za zaštitu upravljanja- ključ zaštite Upravljanje Zaštita.
Polje je neaktivno ako se ne koristi Zaštita upravljanja.
RADIUS tab.
MAC autentifikacija- autorizacija po mac-adresi. Ova postavka se odnosi na one klijente koji nisu na listi pristupa. RADIUS server će koristiti MAC adresu klijenta kao korisničko ime.
Nemojte označiti kućicu.
MAC Accounting- omogućiti MAC statistiku.
Ne čekiramo polje.
EAP Accounting- omogućiti EAP statistiku.
Ne čekiramo polje.
Parametar nije promjenjiv.
MAC format- format u kojem zapisujemo MAC adrese. Dostupni formati:
XX: XX: XX: XX: XX: XX
XXXX: XXXX: XXXX
XXXXXX: XXXXXX
XX-XX-XX-XX-XX-XX
XXXXXX-XXXXXX
XXXXXXXXXXXX
XX XX XX XX XX XX
Određuje kako je MAC adresa klijenta kodirana od strane pristupne tačke u atribut User-Name RADIUS servera.
Parametar nije promjenjiv.
MAC način rada- vrijednosti:
- kao korisničko ime- koristite samo ime prilikom autentifikacije na RADIUS serveru.
- kao-korisničko-ime-i-lozinka- koristiti ime i lozinku za autentifikaciju na RADIUS serveru (kao atribut Korisničko ime).
Parametar nije promjenjiv.
MAC vrijeme keširanja- vremenski interval nakon kojeg će pristupna točka keširati autentifikacijske odgovore. Disabled vrijednost onemogućuje keš memoriju, svi odgovori se šalju direktno na RADIUS server.
Parametar nije promjenjiv.
EAP kartica.
- eap-tls- korištenjem ugrađene EAP TLS autentifikacije. Sertifikati za podršku klijenta i servera.
- eap ttls mschapv2- EAP autentifikacija sa korisničkim imenom i lozinkom.
- proći kroz- pristupna tačka će prenijeti proces autentifikacije na RADIUS server.
- verificirati certifikat- provjerite certifikat.
- ne verificiraj certifikat- ne provjeravajte certifikate od klijenta.
- bez sertifikata- nemojte koristiti certifikat, koristite 2048-bitni anonimni Diffie-Hellman metod ključa.
- provjerite certifikat sa crl- provjerite certifikat u odnosu na CRL (lista opozvanih SSL certifikata).
MSCHAPv2 Korisničko ime- korisničko ime za autentifikaciju eap ttls mschapv2.
MSCHAPv2 lozinka- lozinka za autentifikaciju eap ttls mschapv2.
Kartica Static Keys.
Ovaj odjeljak je aktivan ako se na kartici "Općenito" koriste "statički ključevi opcioni" i "statički ključevi-potrebni". Koristi se za unos ključeva.
Ključ za prijenos- pristupna tačka će koristiti navedeni ključ za šifriranje okvira za klijente, također će se koristiti za šifriranje broadcast i multicast okvira.
Sv. Privatni ključ- samo za upotrebu u režimu "stanica". Pristupna tačka će koristiti odgovarajući ključ odabranog algoritma (u heksadecimalnom ključu).Lista pristupa
Da biste omogućili pristup prema pravilima liste pristupa, na kartici Interfejsi otvorite svojstva bežičnog interfejsa, gde na kartici Bežično poništite izbor parametra Podrazumevana autentifikacija.
Nakon što poništite izbor u polju za potvrdu, idite na pristupnu listu i kreirajte pravilo. Može biti različit za svakog klijenta, ili može biti zajednički za sve.
Interfejs- interfejs na koji će se uspostaviti veza. Ako navedete "sve" - pravilo će se primijeniti na sva bežična sučelja vašeg uređaja.
Raspon jačine signala- opseg nivoa signala na kojem je moguća veza. Postavka se primjenjuje u mrežama sa bešavni roaming između tačaka. Služi tako da vaš uređaj ne zadržava trenutnu pristupnu tačku do kritično slabog nivoa signala, već se ponovo registruje na nova tačka(sa istim SSID-om).
Obično se postavlja raspon poput "-75..120" ako postoji nekoliko pristupnih tačaka u normalnoj dostupnosti.
AP Tx Limit- ograničiti brzinu prijenosa podataka na ovog klijenta. Vrijednost "0" je neograničena.
Client Tx Limit- proći klijentovo ograničenje brzine. Podržano samo na RouterOS klijentima.
Autentifikacija- mogućnost autorizacije. Ako poništite izbor u polju za potvrdu, uređaj s ovom MAC adresom neće se moći povezati na vašu mrežu.
Prosljeđivanje- mogućnost razmjene informacija sa drugim učesnicima u bežičnoj mreži. Ako poništite izbor ovog polja, korisnik ovog uređaja neće imati pristup drugim klijentima wifi mreže.
Obično je na javnoj pristupnoj tački poništeno polje za potvrdu kako bi se uštedio promet i sigurnost.
VLAN-režim- Koristeći VLAN Tagging, možete odvojiti promet virtuelnih bežičnih pristupnih tačaka od lokalnih klijenata (na primjer, da odvojite mrežu za goste od radne mreže). vrijednosti:
- no-tag- nemojte koristiti VLAN tagovanje na bežičnom interfejsu;
- use-service-tag- koristiti 802.1ad označavanje;
- use-tag- koristite 802.1q označavanje.
Ne koristimo VLAN, ostavljamo ga po defaultu - "1". Privatni ključ- mogućnost postavljanja ličnog ključa za šifriranje za uređaj sa MAC podaci adresa. Samo za WEP modove.
Privatni unaprijed zajednički ključ- lični ključ za šifriranje. Koristi se u WPA PSK modu.
Ključ za zaštitu upravljanja- ključ zaštite Upravljanje Zaštita. Zaštita upravljanja - zaštita od deautentifikacije i napada kloniranja MAC adrese. Izloženo na kartici "Općenito" u sigurnosnim profilima.
Vrijeme- u ovom odeljku možete odrediti vremenski raspon unutar kojeg će biti moguće povezati ovaj uređaj.
Connect List
MAC adresa- navedite MAC AP na koji ćemo se povezati.
Povežite se- ako je kvadratić označen, onda će se povezati na pristupnu tačku koja odgovara ovom pravilu, ako nije, neće se povezati.
SSID- će se povezati samo na pristupne tačke koje imaju navedeni SSID, ako nisu aktivne - na bilo koji SSID.
Prefiks područja- pravilo važi za interfejs sa navedenim prefiksom. Područje - omogućava vam da kreirate grupu i u nju uključite bežične uređaje, a zatim ih koristite određena pravila za ovu grupu i sve uređaje uključene u nju, umjesto kreiranja zasebnih pravila za svaki uređaj. Ova vrijednost se popunjava u postavkama pristupne točke i može se uskladiti s pravilima u listi povezivanja.Raspon jačine signala- će se povezati samo na pristupne tačke unutar specificiranog opsega nivoa signala.
Bežični protokol- protokol bežične komunikacije. vrijednosti:
- bilo koji- bilo koji podržan (autoselekcija);
- 802.11 - samo standardni 802.11abgn protokoli. Obično se koristi za kompatibilnost sa opremom drugih proizvođača;
- nstreme- "vlasnički" Mikrotik protokol, karakteriziran velika brzina protok podataka u jednom smjeru (RX ili TX); 7) sakrijte SSID vaše mreže.
8) promenite MAC bežičnog interfejsa - da biste zakomplikovali identifikaciju uređaja.
Bonus
Skripta koja analizira Mikrotik dnevnike. Ako se pojavi poruka o povezivanju sa pogrešnom lozinkom, na pristupnu listu se dodaje pravilo koje zabranjuje ovog klijenta(preko MAC-a) će se povezati na sva naša bežična sučelja. Autor je EdkiyGluk, na čemu mu hvala.
: lokalni pop 4
: lokalni mac
: lokalni wifi foreach i in = $ wifi do = (
: set mac [: odaberite 0 ([: len] -50)]
#: log upozorenje $ mac
if ([: len]> = $ pop) do = (
if (= "") do = (
/ sučelje bežični pristup-listu dodaj mac-adresu = $ mac autentifikacija = ne
interfejs = sve
}
}
}
#: zapisnik upozorenja "FINISH"
Skripta za planer koji se pokreće svakih N minuta. Kako biste spriječili zabranu dozvoljenih uređaja, unaprijed ih dodajte na pristupnu listu.
Još jedan kompjuterski post.
Nedavno izgrađena WiFi mreža sa 802.1x autentifikacijom koristeći certifikate za identifikaciju korisnika. Između ostalog, morao sam da podesim Android uređaje – pametne telefone i tablete – za rad sa njim. Tada se ispostavilo da ne mogu da nađem normalan howto, kako da to uradim - one koje jesu, tiču se skripti sa lozinkama, i želeo sam da ih se rešim. Stoga sam odlučio sažeti informacije o ovom pitanju u jednom postu.
Šta je 802.1x i kako ga koristiti na Windows-u i Linux-u je dovoljno napisano, pa će ovdje biti riječi samo o konfiguraciji klijenta na Androidu.
Dakle, koji je cilj? Potrebno je kreirati mrežu sa pristojnom enkripcijom i pouzdanom autentifikacijom, pri čemu je potrebno da autentifikacija bude što pogodnija za korisnika, ali istovremeno i zaštićena od korisnika. Odnosno, kao administrator, ne želim da korisnik može prenijeti svoju lozinku ili fajl sa tajnim ključem na nekog drugog, niti da se poveže sa uređaja sa kojeg ne želim da mu dozvolim da se poveže - npr. , lični laptop. Općenito, mrak i diktatura.
Da bismo to učinili, radimo sljedeće: na uređaj (telefon, tablet) stavlja se certifikat sa tajnim ključem (za svaki uređaj zaseban ključ). Upravljanje ključevima u Androidu je vrlo primitivno, ali daje upravo minimum koji nam je potreban - omogućava nam da uvezemo ključ i koristimo ga, ali ne i da ga vratimo (od strane najmanje, bez lozinke, koju nećemo davati). Ovi ključevi će se izdati pristupnoj tački kao odgovor na zahtjev da se predstavi.
Cijela procedura se sastoji od 4 koraka:
1. Priprema "pohranjivanje vjerodajnica":
Prije nego što stavite bilo kakve tajne ključeve u uređaj, morate pripremiti skladište za njih, gdje će ključevi biti pohranjeni u šifriranom obliku. Šifriranje će se zasnivati na lozinki koja se unosi samo prilikom kreiranja skladišta. Da biste koristili tajni ključ, ne morate unositi lozinku - samo da biste je izvezli (što se, osim toga, ne može učiniti putem uobičajenog korisničkog sučelja za android). Stoga ćemo ovu lozinku zadržati kod sebe i nećemo je uopće dati korisniku. Zlobni smeh je uključen.
[Ažuriraj: avaj, neće uspjeti. Kada isključite uređaj, lozinka je nestala i morate je ponovo unijeti da biste koristili ključeve. Ovo ima i dobrih i loših strana:
* Čuvanje lozinke u tajnosti od korisnika neće raditi - inače ćete je morati unositi svaki put kada je uključite.
* To znači da teoretski korisnik može kopirati tajni ključ sa uređaja - što je loše sa administratorske tačke gledišta. Ali, koliko sam shvatio, za ovo je potreban root pristup. Dobijanje takvog pristupa je problematično, ali moguće.
* Dobra stranačinjenica da sama lozinka nije sačuvana u fleš memoriji - a šifrovani ključevi koji su sačuvani su šifrovani ovom lozinkom pomoću AES-a.
* Pa, osim toga, ako lozinka još nije unesena pri uključivanju, onda to daje zaštitu od nekog autsajdera koji će pokušati koristiti ključ a da ne zna lozinku.
]
Lozinka se može promijeniti kasnije - ali samo uz poznavanje trenutne. Također možete resetirati cijelu pohranu - u tom slučaju lozinka će nestati, a korisnik će moći postaviti svoju, ali uz to će i tajni ključ neopozivo nestati, baš kao i tajna vrijesovog meda.
Sam proces: Postavke -> Lokacija i sigurnost -> Postavi lozinku... Unesite lozinku dva puta. Tada će se potvrdni okvir „Koristi sigurne vjerodajnice“ automatski uključiti.
Za promjenu lozinke: “Postavite lozinku” ponovo.
Za resetiranje svih nafig: “Obriši pohranu” na istom mjestu.
2. Uvoz korijenskog certifikata:
Morate u uređaj ubaciti datoteku sa ekstenzijom .crt (.cer nije prihvaćen) iu PEM formatu, poznatom i kao Base-64. To možete učiniti preko USB-a ili preko Bluetooth-a. Datoteka se mora kopirati u direktorij /sdcard - onaj koji je vidljiv kao root kada se uređaj poveže putem USB-a ili kada pregledate datoteke kroz "Moje datoteke".
onda: Postavke -> Lokacija i sigurnost ->(iako u ovom slučaju certifikat nije šifriran). Certifikat će biti dodan na listu pouzdanih, a datoteka u /sdcard se briše.
Pogodniji način je da objavite certifikat na nekoj web stranici i samo otvorite njegov URL u svom izvornom android pretraživaču (za veću pouzdanost koristite dobro poznatu web uslugu putem https ili čisto internu web stranicu). On će odmah pitati da li da doda sertifikat na listu pouzdanih ili ne. Kako ne biste svojim rukama ispunili URL, možete s njim generirati QR kod, a zatim ga samo skenirati.
3. Uvoz korisničkog certifikata s privatnim ključem:
Datoteka privatnog ključa u PKCS # 12 formatu i sa ekstenzijom .p12 stavlja se u /sdcard (.pfx se, opet, zanemaruje). Postoji mnogo načina za kreiranje takve datoteke - neću ih navoditi, ali napominjem da biste svakako trebali postaviti jednokratnu lozinku za nju, koja šifrira ključ.
onda, opet, Postavke -> Lokacija i sigurnost -> Instaliraj šifrirane certifikate... Ovaj put od vas će biti zatraženo unošenje lozinke. Ovo nije onaj koji je tražen prilikom kreiranja skladišta, već onaj koji je potreban za dešifriranje ključa iz datoteke. Nakon unosa lozinke, ključ će biti dešifrovan i ponovo sačuvan šifrovan - ovaj put, sa lozinkom iz trezora. Fajl će biti izbrisan sa /sdcard, što je za nas u redu.
Možete i baciti .p12 datoteku kroz URL, ali ja ne bih - za razliku od certifikata, širenje ključa, iako šifrirano, treba izbjegavati.
4. Povezivanje na samu mrežu:
Nakon što je ključ postavljen, ostaju samo postavke WiFi mreže. U ovoj fazi nema ništa tajno, možete to ostaviti korisnicima slanjem instrukcija.
dakle: Postavke -> Bežična i mreža -> Wi-Fi postavke... Pronađite mrežu na listi ili, ako je SSID skriven, kliknite na „Dodaj Wi-Fi mrežu“.
onda:
Na naprednijim uređajima možete postaviti i proxy postavke za svaku mrežu, što je vrlo zgodno.
Sve. Nakon toga, korisnik će morati samo kliknuti na naziv mreže i povezati se. Ako zbog nepromišljenosti nekako klikne na “Zaboravi mrežu” i izbriše postavke, za vraćanje dovoljno je samo ponovo proći kroz korak 4 - postupak je neklasifikovan, korisnik to može učiniti sam.
napomene:
U osnovi, postoji i PEAP opcija. PEAP-EAP-TLS protokol se smatra malo sigurnijim – na primjer, korisnički certifikat se u njemu šalje u šifriranom obliku preko uspostavljenog TLS tunela. Međutim, moji napori da natjeram Android da radi u ovom načinu nisu doveli do ničega. Pretpostavljam da je činjenica da polje "Faza 2 autentifikacije" ne sadrži opciju za korištenje korisničkog certifikata - tako da se morate zadovoljiti EAP-TLS-om, kojem nije potrebna nikakva faza 2. Ali razlika je minimalna i beznačajna.
Nemam pojma zašto mi treba. U principu, korisnik treba biti identificiran CN poljem u certifikatu.
- Tutorial
Sa praktične tačke gledišta, bilo bi zgodno upravljati Wi-Fi mrežama izdavanjem lozinke svakom korisniku. Ovo olakšava pristup vašoj bežičnoj mreži. Koristeći takozvanu WPA2 PSK autorizaciju, kako biste spriječili pristup slučajnom korisniku, potrebno je promijeniti ključ, a također proći proces autorizacije ponovo na svakom zasebnom Wi-Fi uređaj... Osim toga, ako imate nekoliko pristupnih tačaka, ključ se mora promijeniti na svim njima. A ako trebate sakriti lozinku od nekoga, morat ćete podijeliti novu svim zaposlenima.
Zamislite situaciju - autsajder (klijent, izvođač radova?) je ušao u vašu kancelariju i morate mu omogućiti pristup internetu. Umjesto da mu date WPA2 ključ, možete kreirati poseban račun za njega, koji onda, nakon što ode, možete blokirati. Ovo će vam dati fleksibilnost u upravljanju vašim računima, a vaši korisnici će biti vrlo zadovoljni.
Napravit ćemo zgodnu shemu koja se koristi u korporativne mreže, ali u potpunosti iz dostupnih alata uz minimalna finansijska i hardverska ulaganja. To će odobriti služba bezbednosti i uprava.
Malo teorije
Nekada davno, IEEE inženjeri su skovali standard 802.1x. Ovaj standard je odgovoran za mogućnost autorizacije korisnika odmah nakon povezivanja na medij za prijenos podataka. Drugim riječima, ako se za vezu, na primjer, PPPoE, povežete na medij (switch) i već možete prenositi podatke, potrebna je autorizacija za pristup Internetu. U slučaju 802.1x, nećete moći ništa učiniti dok se ne prijavite. Sam krajnji uređaj vam neće dozvoliti. Slična situacija sa Wi-Fi pristupnim tačkama. Odluka o prijemu se donosi na vanjskom serveru za autorizaciju. Ovo može biti RADIUS, TACACS, TACACS +, itd.Terminologija
Općenito, autorizacija korisnika u određenom trenutku može biti sljedećih tipova:- Otvoreno - dostupno svima
- WEP je stara enkripcija. Već je svačija ćelavost pojedena da je nikako ne treba koristiti
- WPA - Koristi ga TKIP kao protokol za šifrovanje
- WPA2 - Koristi se AES enkripcija
A sada razmotrimo opcije kako pristupna točka sama zna da li je moguće korisniku omogućiti pristup mreži ili ne:
- WPA-PSK, WPA2-PSK - pristupni ključ se nalazi na samoj tački.
- WPA-EAP, WPA2-EAP - pristupni ključ se provjerava u odnosu na neku udaljenu bazu podataka na serveru treće strane
Postoje i prilično veliki broj načini povezivanja krajnjeg uređaja sa autorizacionim serverom (PEAP, TLS, TTLS...). Neću ih ovdje opisivati.
Opšti dijagram mreže
Za vizuelno razumevanje, dajemo opšta šema rad naše buduće šeme:Drugim riječima, od klijenta se traži da unese prijavu i lozinku kada se povezuje na Wi-Fi tačku. Primivši prijavu i wifi lozinka tačka šalje ove podatke RADIUS serveru, na koji server odgovara, šta se može uraditi sa ovim klijentom. U zavisnosti od odgovora, tačka odlučuje da li će joj dati pristup, smanjiti brzinu ili nešto drugo.
Naš server sa instaliranim freeradiusom će biti odgovoran za autorizaciju korisnika. Freeradius je implementacija RADIUS protokola, koji je zauzvrat implementacija opšteg AAA protokola. AAA je skup alata za sljedeće:
Autentifikacija - provjerava valjanost korisničkog imena i lozinke.
Autorizacija - provjerava prava za obavljanje određenih radnji.
Računovodstvo - uzima u obzir vaše radnje u sistemu.
Sam protokol za njega prosljeđuje korisničko ime, listu atributa i njihove vrijednosti. To je, na primjer, Auth-Type: = Reject atribut je da odbije ovog klijenta, a Client-Password == "password" je da uporedi atribut u zahtjevu sa vrijednošću lozinke.
Uopšteno govoreći, baza naloga i prava za njih ne moraju biti pohranjeni na RADIUS serveru, a baza može biti bilo šta - nix korisnici, korisnici Windows domena... ali barem tekstualni fajl. Ali u našem slučaju sve će biti na jednom mjestu.
Basic setup
U ovom članku će nas prvenstveno zanimati WPA2-EAP/TLS metoda autorizacije.Gotovo sve moderne Wi-Fi pristupne točke koje koštaju više od 3 tisuće rubalja podržavaju tehnologiju koja nam je potrebna. Klijentski uređaji podržavaju čak i više.
U članku ću koristiti sljedeći hardver i softver:
- Ubiquiti NanoStation M2 pristupna tačka
- Gentoo server i Freeradius
- Klijentska oprema sa instaliranim softverom Windows 7, Android, iOS
Podešavanje pristupne tačke
Glavna stvar je da tačka podržava potrebnu metodu provjere autentičnosti. Može se nazvati različito na različitim uređajima: WPA-EAP, WPA2 Enterprise, itd. U svakom slučaju biramo autentifikaciju, postavljamo IP adresu i port RADIUS servera i ključ koji smo upisali u clients.conf prilikom konfigurisanja Freeradius-a.Daću sliku sa konfigurisane Ubiquiti tačke. Označeno z gumom je ono što treba promijeniti.
RADIUS server
Idite na naš Linux računar i instalirajte RADIUS server. Uzeo sam freeradius, i stavio ga na gentoo. Na moje iznenađenje, na runetu nema materijala vezanih za postavljanje Freeradiusa 2 za naše potrebe. Svi članci su prilično stari, odnose se na stare verzije ovog softvera.[email protected]~ # emerge -v slobodni radijus
To je to :) RADIUS server već može da radi :) To možete provjeriti ovako:
Ovo je debug-mode. Sve informacije se izbacuju na konzolu. Počnimo da ga konfigurišemo.
Kao što je uobičajeno u Linuxu, konfiguracija se vrši preko konfiguracijskih datoteka. Konfiguracijske datoteke su pohranjene u /etc/raddb. Napravimo pripremne radnje- kopirajte originalne konfiguracije, očistite konfiguraciju od smeća.
[email protected]~ # cp -r / etc / raddb /etc/raddb.olg [email protected]~ # pronađi / etc / raddb -type f -exec fajl () \; | grep "tekst" | rez -d ":" -f1 | xargs sed -i "/ ^ * \ t * * # / d; / ^ $ / d"
Zatim, dodajmo klijenta - pristupnu tačku. Dodajte u datoteku / etc / raddb / clients sledeći redovi:
[email protected]~ # cat /etc/raddb/clients.conf | sed "/ client test-wifi /, /) /! d" client test-wifi (ipaddr = 192.168.0.1 #IP adresa tačke koja će pristupiti radijusu secret = secret_key # Tajni ključ. Isto se mora staviti na Wi - Fi point.require_message_authenticator = ne # Bolje je ovako, sa nekim D-Link-om ne bih mogao drugačije)
Zatim dodajte domenu za korisnike. Postavimo zadano.
[email protected]~ # cat /etc/raddb/proxy.conf | sed "/ realm DEFAULT /, / ^) /! d" realm DEFAULT (tip = radijus authost = LOCAL acchost = LOCAL)
Domene u RADIUS-u
Ovdje treba napomenuti da možete podijeliti korisnike po domenima. Naime, format korisničkog imena može biti domena (npr [email protected]). DEFAULT označava bilo koju nedefiniranu domenu. NULL - nema domena. Ovisno o domeni (možete reći prefiks u korisničkom imenu), možete izvršiti razne akcije, kako dati pravo na autentifikaciju drugom hostu, da li odvojiti ime od domene prilikom verifikacije prijave itd.
Konačno, dodajte korisnike u / etc / raddb / users fajl:
[email protected]~ # cat / etc / raddb / users | sed "10, $! d" user1 Cleartext-Password: = "password1" user2 Cleartext-Password: = "password2" user3 Cleartext-Password: = "password3"
Vau, možete početi!
[email protected]~ # radiusd -fX
Naš server radi i čeka na konekcije!
Konfigurisanje klijenata
Idemo preko osnovne postavke korisničkih uređaja... Naši zaposleni imaju klijente koji rade na Android, iOS i Windows 7. Odmah da rezervišemo: pošto koristimo sertifikate koji su sami generisali, potrebno je da napravimo sve vrste izuzetaka i nekoliko puta potvrdimo radnje. Da smo koristili kupljene sertifikate, možda bi sve bilo lakše.Situacija je jednostavnija za sve na iOS uređajima. Unesite svoje korisničko ime i lozinku, kliknite na "Prihvati certifikat" i idite.
Snimak ekrana sa iOS-a
Izgleda malo komplikovanije, ali u praksi je sve jednostavno i na Androidu. Ima malo više polja za unos.
Snimak ekrana sa Androida
Pa, na Windows 7 morat ćete malo podesiti. Preduzmimo sljedeće korake:
Idemo u centar bežičnih veza.
- Postavljamo potrebne parametre u svojstvima vaše bežične veze
- Postavljamo potrebne parametre u naprednim EAP postavkama
- Potrebne parametre postavljamo u naprednim postavkama Dodatni parametri
- Povezujemo se na Wi-Fi mrežu na traci zadataka i unosimo lozinku za prijavu, uživamo u pristupu Wi-Fi
Windows screenshotovi
Korak 1 
Korak 2 
Korak 3 
Korak 4 
Korak 5 
Vlastiti mini naplatu
Sada postoji jedan problem - ako želite dodati/ukloniti novog korisnika, onda morate promijeniti korisnike i restartovati radijus. Da bismo to izbjegli, povežimo bazu podataka i napravimo vlastitu mini naplatu za korisnike. Koristeći bazu podataka, uvijek možete skicirati jednostavnu skriptu za dodavanje, blokiranje, promjenu korisničke lozinke. I sve će se to dogoditi bez zaustavljanja čitavog sistema.Za sebe sam koristio Postgres, ali možete birati kako želite. Predstavljam osnovnu postavku Postgresa bez da ulazim duboko u razne dozvole, lozinke i druge trikove i pogodnosti.
Prvo kreiramo samu bazu podataka:
[email protected]~ # psql -U postgres radius_wifi => kreiraj korisnika radius_wifi sa lozinkom 1111; radius_wifi => kreiraj bazu podataka radius_wifi sa vlasnikom = radius_wifi; radius_wifi => \ q
Zatim morate kreirati tabele koje su vam potrebne. Općenito, Freeradius dolazi sa dokumentacijom o šemama tablica za različite baze podaci, iako se u različitim distribucijama nalaze na različitim mjestima. Ja ga lično imam u /etc/raddb/sql/postgresql/schema.sql. Samo zalijepite ove linije u psql ili samo pokrenite
[email protected]~ # cat /etc/raddb/sql/postgresql/schema.sql | psql -U radius_wifi radius_wifi
Za svaki slučaj, ovdje ću dodati šemu za Postgres:
Šema za Postgres
[email protected] ~ # cat /etc/raddb/sql/postgresql/schema.sql | sed "/ ^ - / d; / \ / \ * / d; / \ * / d; / ^ $ / d;" CREATE TABLE radacct (RadAcctId BIGSERIAL PRIMARY KEY, AcctSessionId VARCHAR (64) NOT NULL, AcctUniqueId VARCHAR (32) NOT NULL JEDINSTVEN, Korisničko ime VARCHAR (253), GroupName VARCHAR (253), GroupName VARCHAR (25) NAART (25) NAART (25) VARCHAR (32) AcctStartTime TIMESTAMP s vremenskom zonom AcctStopTime TIMESTAMP sa vremenskom zonom AcctSessionTime BIGINT CalledStationId VARCHAR (50), CallingStationId VARCHAR (50), AcctTerminateCause VARCHAR (32), ServiceType VARCHAR VARCHARScen2escol (32), ServiceType VARCHARVARCHARMESCO1 (50) ), FramedIPEGAddress, ActopDay INTEGERct CREATE INDEX radacct_active_user_idx ON radacct (UserName, NASIPAddress, AcctSessionId) GDJE je AcctStopTime NULL; CREATE INDEX radacct_start_user_idx ON radacct (AcctStartTime, UserName); CREATE TABLE radcheck (id SERIAL PRIMARY KEY, Korisničko ime VARCHAR (64) NOT NULL DEFAULT "", Atribut VARCHAR (64) NOT NULL DEFAULT "", op CHAR (2) NOT NULL DEFAULT "==", vrijednost VARCHAR (253) NOT NULL DEFAULT ""); kreirati indeks radcheck_UserName na radcheck (korisničko ime, atribut); CREATE TABLE radgroupcheck (id SERIAL PRIMARY KEY, GroupName VARCHAR (64) NOT NULL DEFAULT "", Atribut VARCHAR (64) NOT NULL DEFAULT "", op CHAR (2) NOT NULL DEFAULT "==", vrijednost VARCHAR (253) NOT NULL DEFAULT ""); kreirati indeks radgroupcheck_GroupName na radgroupcheck (GroupName, Attribute); CREATE TABLE radgroupreply (id SERIAL PRIMARY KEY, GroupName VARCHAR (64) NOT NULL DEFAULT "", Atribut VARCHAR (64) NOT NULL DEFAULT "", op CHAR (2) NOT NULL DEFAULT "=", vrijednost VARCHAR (253) NOT NULL DEFAULT ""); kreirati indeks radgroupreply_GroupName na radgroupreply (GroupName, Attribute); CREATE TABLE radreply (id SERIAL PRIMARY KEY, Korisničko ime VARCHAR (64) NOT NULL DEFAULT "", Atribut VARCHAR (64) NOT NULL DEFAULT "", op CHAR (2) NOT NULL DEFAULT "=", vrijednost VARCHAR (253) NOT NULL DEFAULT ""); kreirati indeks radreply_UserName na radreply (korisničko ime, atribut); CREATE TABLE radusergroup (Korisničko ime VARCHAR (64) NOT NULL DEFAULT "", Ime grupe VARCHAR (64) NOT NULL DEFAULT "", prioritet INTEGER NOT NULL DEFAULT 0); kreirati indeks radusergroup_UserName na radusergroup (UserName); CREATE TABLE radpostauth (id BIGSERIAL PRIMARY KEY, korisničko ime VARCHAR (253) NOT NULL, pass VARCHAR (128), odgovor VARCHAR (32), CalledStationId VARCHAR (50), CallingStationId VARCHAR (50), authdate zadana vremenska zona NwithNULLSTAMP " sad () ");
Odlično, baza je spremna. Sada da shvatimo Freeradius.
Ako ga nema, dodajte red u /etc/raddb/radiusd.conf
$ INCLUDE sql.conf
Sada uredite /etc/raddb/sql.conf tako da odgovara vašoj stvarnosti. meni izgleda ovako:
Moj sql.conf
[email protected]~ # cat /etc/raddb/sql.conf sql (baza podataka = "postgresql" drajver = "rlm_sql _ $ (baza podataka)" server = "localhost" prijava = "radius_wifi" lozinka = "1111" radius_db = "radius_wifi" acct_table1 "radacct" acct_table2 = "radacct" postauth_table = "radpostauth" authcheck_table = "radcheck" authreply_table = "radreply" groupcheck_table = "radgroupcheck" groupreply_table = "radgroupreply" usergroup_table = "radusergroup da" deletestalesessions = notradile sqltrace.sql num_sql_socks = 5 connect_failure_retry_delay = 60 životni vijek = 0 max_queries = 0 nas_table = "nas" $ UKLJUČI sql / $ (baza podataka) /dialup.conf)
Dodajte nekoliko novih korisnika test1, test2, test3 i ... blok test3
[email protected]~ # psql -U postgres radius_wifi => umetnuti u radcheck (korisničko ime, atribut, op, vrijednost) vrijednosti ("test1", "Cleartext-Password", ": =", "1111"); radius_wifi => umetnuti u radcheck (korisničko ime, atribut, op, vrijednost) vrijednosti ("test2", "Cleartext-Password", ": =", "1111"); radius_wifi => umetnuti u radcheck (korisničko ime, atribut, op, vrijednost) vrijednosti ("test3", "Cleartext-Password", ": =", "1111"); radius_wifi => ubaci u radcheck (korisničko ime, atribut, op, vrijednost) vrijednosti ("test3", "Auth-Type", ": =", "Odbaci");
Pa, ponovo pokrenite freeradius i pokušajte se povezati. Sve bi trebalo da funkcioniše!
Naravno, ispostavilo se da je naplata manjkava - informacije o računovodstvu (obračun radnji korisnika) ne pohranjujemo nigdje, ali ovo nam ni ovdje ne treba. Za vođenje računovodstva potrebne su vam i Wi-Fi tačke koje su skuplje od 3 hiljade rubalja. Ali već sada možemo lako upravljati korisnicima.
radijus Dodaj oznake
