Scopul meu: Creați configurația WiFi EAP, inclusiv certificatul CA în programul Android.

Problemă: Cum se instalează în mod programatic un certificat CA (și apoi se face referire la acel certificat în configurația WiFi EAP)?

Totuși, aceasta presupune că ați instalat deja un certificat CA pe dispozitiv. Aș dori să instalez un certificat în aplicația mea - fie din resurse din aplicație, fie trimis de pe server.

Este posibil? (Root in în acest caz, nu este o opțiune). Dacă da, cum?

Informații suplimentare...

De asemenea, am găsit o modalitate de a adăuga certificatul la KeyStore:

Cu toate acestea, aceasta este folosită în mod special pentru a crea o priză securizată și a se conecta prin HTTPS. Vreau să folosesc un certificat pentru WiFi.

Din păcate, încă nu am găsit o modalitate de a instala certificatul CA în mod programatic - din cadrul aplicației.

Cu toate acestea, este posibil să instalați certificatul printr-un browser web pe Android. Astfel, soluția (la acest moment) este după cum urmează: Rulați o intenție de a deschide o adresă URL într-un browser web, care este trimis direct la certificatul CA.

Funcționează, dar există câteva probleme:

• Utilizatorul trebuie să furnizeze un certificat. Aceasta este o problemă deoarece adăugăm configurația WiFi în mod programatic. Deci trebuie să cerem utilizatorului să furnizeze un certificat cu același nume.
• Utilizatorul trebuie să introducă o parolă. Dacă nu au o parolă, utilizatorul va crea una și o va introduce de două ori. Dacă a setat o parolă de securitate, utilizatorul va trebui să-și amintească aceeași parolă și să o introducă.
• Presupunând că utilizatorul a finalizat cu succes acești pași, acesta rămâne blocat în browser.

Acest lucru duce la mai multe întrebări:

• Din aplicația mea, există o modalitate de a forța numele certificatului instalat de utilizator prin browser?
• Din aplicația mea, există vreo modalitate de a afla când instalarea certificatului este finalizată și apoi de a reveni la focalizarea aplicației mele?

Doar spune-mi dacă ai nevoie de lămuriri.

3 raspunsuri

Nu îl puteți instala direct, deoarece aplicațiile non-sistem nu au acces la magazinul de chei. Există un API pentru acest lucru în ICS, KeyChain.createInstallIntent(), care va lansa un dialog de sistem care va întreba utilizatorul dacă dorește să instaleze certificatul. Pe pre-ICS, puteți realiza același lucru declanșând direct intenția de instalare folosind numele componentei (acesta poate sau nu să funcționeze pe toate dispozitivele). Trecerea prin browser este de fapt o soluție pentru a face același lucru.

Referitor la întrebările dvs.:

• nu puteți specifica/forța un nume. De ce te interesează numele real?
• Nu chiar prin browser. Dacă utilizați intenția sistemului, puteți reveni la activitatea dvs. și obțineți sună din nou dacă utilizați startActivityForResult() .

Momentan caut solutii la aceleasi probleme. Cel mai bun pe care l-am găsit este KeyChain.choosePrivateKeyAlias(), care permite utilizatorului să aleagă ce certificat să folosească pentru SSL. De acolo puteți obține numele aliasului și îl puteți transmite configurației wifi corporative.

În prima parte, am aflat de ce o întreprindere ar trebui să folosească modul Enterprise Wi-Fi Protected Access (WPA sau WPA2) mai degrabă decât modul Personal (PSK). Am aflat că autentificarea 802.1X în modul Enterprise necesită utilizarea unui server RADIUS, care este inclus în Windows Server.

Am instalat și configurat deja Serviciul de certificat în Windows Server 2008. În această parte, vom continua instalarea și configurarea politicii de rețea și a serviciilor de acces. Vom configura apoi controlerele wireless și/sau punctele de acces (AP) pentru a utiliza criptarea, precum și setările RADIUS. În continuare vom configura computerele client. Și, în sfârșit, ne vom putea conecta.

Instalarea rolurilor de politică de rețea și servicii de acces

ÎN Versiuni anterioare Funcționalitatea Windows Server RADIUS a fost oferită de Internet Authenticate Service (IAS). Începând cu Windows Server 2008, acest lucru este oferit de Politica de rețea și Serviciile de acces. Aceasta include serviciile anterioare IAS împreună cu noua componentă PNA.

La fereastră configurare inițială (Activități de configurare inițială) derulați în jos și selectați Adăugați roluri. Dacă ați închis și minimizat această fereastră, faceți clic pe Start > Server Manager, selectați Roluri și faceți clic pe Adăugare roluri.

Selectați Politică de rețea și servicii de acces(Figura 1) și apăsați Mai departe.

Figura 1: Selectarea instalării rolurilor de Politică de rețea și Servicii de acces

Selectați următoarele (Figura 2):

• Network Policy Server
• Servere de rutare și acces la distanță
• Servicii acces de la distanță(Servicii de acces la distanță)
• Dirijare

Figura 2: Selectarea instalării primelor patru opțiuni

Acum puteți începe configurarea NPS pentru funcția RADIUS: faceți clic start, introduce nps.mscși apăsați introduce.

Pentru opțiune Configurație standard(Configurație standard) selectați opțiunea Server RADIUS pentru 802.1X Wireless sau conexiuni prin cablu(Server RADIUS pentru conexiuni wireless sau cu fir 802.1X)(Figura 3) din meniul drop-down.

Figura 3: Selectarea unui server RADIUS pentru 802.1X

Clic Configurați 802.1X.

Pentru tipul de conexiune 802.1X, selectați Conexiuni wireless sigure(Figura 4) și apăsați Mai departe.

Figura 4: Selectarea securității wireless

Pentru fiecare controler wireless și/sau punct de acces, faceți clic Adăuga, a crea intrare nouă Client RADIUS. După cum se arată în Figura 5, trebuie să specificați nume prietenoase care vă vor ajuta să le identificați printre altele, adrese IP sau DNS și un secret partajat (Shared Secret).

Figura 5: Introducerea informațiilor pentru controlerul wireless sau punctul de acces

Aceste secrete partajate sunt importante pentru autentificare și criptare. Fă-le complexe și lungi, precum parolele. Ele trebuie să fie unice pentru fiecare controler/AP. Mai târziu va trebui să introduceți aceleași secrete partajate pentru controlerele/AP-urile corespunzătoare. Amintiți-vă să le păstrați secrete, păstrați-le într-un loc sigur.

Pentru Metoda de autentificare, selectați Microsoft Protected EAP (PEAP) deoarece vom folosi PEAP.

Faceți clic pe butonul Ton", selectați certificatul creat anterior și faceți clic Bine.

În fereastra pentru specificarea grupurilor de utilizatori (Figura 6), faceți clic Adăuga.

Figura 6: Adăugarea de grupuri de utilizatori care se pot conecta

În casetele de dialog de selecție a grupurilor, introduceți grupuri sau faceți clic pe Avansat pentru a căuta grupuri disponibile. Dacă nu ați creat grupuri suplimentare, poate fi necesar să selectați Utilizatori de domeniu pentru a permite utilizatorilor și Calculatoare de domeniu pentru a autentifica mașinile dacă controlerele/AP-urile dvs. le acceptă. Dacă primiți un mesaj de eroare că domeniul nu există, reporniți serverul Active Directory Servicii de domeniu si incearca din nou.

După adăugare grupurile potrivite clic Mai departe a continua.

La fereastră Setări VLAN(Figura 7), dacă rețeaua dvs. (comutatoare și controlere/AP-uri) acceptă VLAN-uri și acestea sunt configurate, faceți clic pe Ton" pentru a seta funcția VLAN.

Figura 7: Faceți clic pe butonul de configurare pentru a defini setările VLAN

Examinați opțiunile și faceți clic Gata.

Configurarea controlerelor wireless și/sau punctelor de acces

Este timpul să vă configurați controlerele wireless sau punctele de acces (AP). Apelați interfața web introducând adresa IP a punctelor de acces sau controlerelor în browser. Apoi accesați setările wireless.

Selectați WPA-Enterprise sau WPA2-Entreprise. Pentru tipul de criptare, selectați TKIP dacă utilizați WPA sau AES dacă utilizați WPA2. Apoi introduceți adresa IP a serverului RADIUS care ar trebui să fie cea pe care tocmai ați configurat-o. mașină Windows Sever. Introduceți secretul partajat pe care l-ați creat mai devreme pentru acest controler/AP. Salvați setările.

Instalarea unui certificat CA pe mașinile client

În prima parte a seriei, v-ați creat propria autoritate de certificare (CA) și certificat de server. Prin urmare, trebuie să instalați CA pe toate computerele client. În acest caz, clientul poate verifica serverul înainte de autentificare.

Dacă utilizați o rețea de domeniu cu Active Directory, poate fi necesar să implementați acest certificat folosind Politica de grup. Cu toate acestea, îl puteți instala și manual.

Pentru a vizualiza și gestiona certificate în Windows Server 2008, apelați Managerul de certificate. Dacă ați salvat acest MMC pe computer în prima parte, deschideți-l. În caz contrar, urmați din nou acești pași:

1. Clic start, introduce MMCși apăsați introduce.
2. În fereastra consolei MMC, selectați Fişier>Adăugați sau eliminați un snap-in.
3. Selectați Certificateși apăsați Adăuga.
4. Selectați Cont de calculatorși apăsați Mai departe.
5. Selectați Computer local, presa GataȘi Bine.

Acum extindeți-vă Certificate (local Cont computer (Cont de computer local)), extinde Personalși apăsați Certificate.

După cum se arată în Figura 8, faceți clic tasta dreapta pe un certificat a cărui valoare „Issued To” se termină cu C.A., du-te la punct Toate sarcinileși selectați Export". Apoi urmați Expertul de export. Când vrăjitorul vă întreabă, nu exportați cheie privată, dar utilizați formatul DER. Poate fi necesar să-l exportați pe o unitate flash, astfel încât să îl puteți lua cu dvs. pe computerele dvs. client.

Acum, pe computerele client, faceți dublu clic pe certificat și faceți clic Instalați certificatul(Figura 9). Utilizați expertul pentru a importa certificatul în magazin Autorități de certificare rădăcină de încredere.

Figura 9: Instalarea unui certificat CA pe client.

Configurarea setărilor de rețea pe computerele client

Acum puteți configura setările de rețea. Ca și în cazul instalării certificatelor, puteți promova setările de rețea către clienți folosind Politica de grup dacă lucrați într-o rețea de domeniu cu Active Directory. Cu toate acestea, puteți configura clienții și manual, ca în cazul nostru pentru Windows XP, Vista și 7.

În primul rând, creăm manual un profil de rețea sau o intrare de rețea preferată. Pentru Tip de securitate Selectați WPA-Enterprise sau WPA2-Entreprise. Pentru Tipul de criptare Selectați TKIP dacă se folosește WPA sau AES dacă este utilizat WPA2.

Deschideți profilul de rețea și selectați marcajul Siguranță(în Vista și 7) sau Autentificare(în XP). În XP, bifați opțiunea Activați autentificarea IEEE 802.1x pentru această rețea.

Pentru Metoda de autentificare în rețea(în Vista și 7, așa cum se arată în Figura 10) sau Tip EAP(pe XP), selectați EAP protejat (PEAP). În XP, debifați și opțiunile din partea de jos a ferestrei.

Figura 10: Selectarea PEAP pentru metoda de autentificare

Pe Windows 7 (numai), faceți clic Setari avansateîn fila Securitate. Apoi în fereastră parametri suplimentari bifați opțiunea Specificați modul de autentificare, Selectați Autentificarea utilizatoruluiși apăsați Bine pentru a reveni la fila Securitate.

Faceți clic pe butonul Opțiuni(în Vista și 7) sau Proprietăți(în XP).

În caseta de dialog Proprietăți EAP protejate, urmați acești pași (Figura 11):

• Verificați prima opțiune, Validați serverul.
• Verificați a doua opțiune, Conectați-vă la aceste servere, și intră nume complete calculatoare server. Dacă este necesar, faceți dublu clic pe el în Windows Server selectând Start > Server Manager.
• În fereastra cu listă Autorități de certificare rădăcină de încredere selectați certificatul CA pe care l-ați importat.
• Selectați Parolă securizată (EAP-MSCHAP v2) pentru metoda de autentificare.

Figura 11: Setarea proprietăților PEAP

• Faceți clic pe butonul Ton. Dacă lucrați într-o rețea de domeniu cu Active Directory, este mai bine să bifați această opțiune. În caz contrar, debifați această opțiune pentru a vă putea introduce numele de utilizator și parola atunci când vă conectați la rețea.

În cele din urmă, faceți clic pe OK în fereastra de dialog pentru a salva setările.

Și, în sfârșit, conectează-te și autentifică-te!

Când serverul, AP-urile și clienții sunt configurați, trebuie să încercați să vă conectați.

Pe computerul client, selectați o rețea din lista celor disponibile conexiuni de retea. Dacă nu ați configurat clientul să utilizeze automat autentificarea Windows, va trebui să introduceți acreditările de conectare, așa cum se arată în Figura 12. Utilizați un cont pe Windows Server care aparține grupului pe care l-ați configurat mai devreme în secțiunea de configurare a politicii de rețea și a serviciilor de acces. . Dacă ați selectat grupul Utilizatori de domeniu, contul de administrator ar trebui să fie permis în mod implicit.

Figura 12: Fereastra de autentificare.

Concluzie

Acum ar trebui să aveți o rețea autentificată 802.1X și Protecția întreprinderii criptare, datorită Windows Server 2008 și caracteristicii RADIUS pe care o oferă. Am configurat serverul, AP-urile wireless și clienții pentru a utiliza autentificarea PEAP. Utilizatorii finali se vor putea conecta folosind propriile conturi.

Pentru a gestiona setările serverului RADIUS, cum ar fi adăugarea sau eliminarea AP-urilor, utilizați utilitarul Network Policy Server: faceți clic pe start>Toate programele> Instrumente de administrare>Network Policy Server.

Versiunea RoS 6.39rc27

In spate Protecție WiFi rețelele din Mikrotik sunt responsabile pentru trei file: Lista de acces(/listă de acces fără fir interfață), Lista de conectare(/listă de conectare fără fir interfață), Profiluri de securitate(/interface wireless security-profiles).

Lista de acces - lista de reguli care restricționează conexiunile alte dispozitive la punctul dvs. de vedereși servesc, de asemenea, la gestionarea parametrilor de conexiune. (modul ap).

Exemplu: doriți să restricționați conexiunile la punctul dvs. de acces pe baza adreselor MAC.
Lista de conectare- o listă de reguli care restricționează conexiunea dispozitivul dvs. către alte puncte de acces(modul stație).

Exemplu: doriți să vă conectați automat stația client la punctul de acces cu puterea maximă a semnalului (dacă există mai multe stații de bază).

Profiluri de securitate - sunt configurate profiluri ale metodelor de securitate și, direct, cheile de securitate ale rețelei wireless.

Profiluri de securitate

Să începem cu cele mai interesante - Profiluri de securitate. Aici am configurat criptarea pentru noi puncte wireless. Configurarea va fi efectuată pentru un punct de acces acasă sau la birou. Profilul de protecție este setat direct în proprietățile interfeței wireless.

Când accesați fila / interfață wireless de securitate-profiluri vedem această imagine.

Poți să-ți adaugi profilul, eu îl folosesc întotdeauna pe cel standard - de ce să-l irosești =).

Filă generală.

Nume- Numele profilului.

Dacă folosim profil standard- lăsați-o ca implicit.

Modul- modul de criptare.

• nici unul- criptarea nu este utilizată. Cadrele criptate nu sunt acceptate. Folosit pe scară largă în sisteme acces oaspeților, cum ar fi furnizarea de internet într-o cafenea sau un hotel. Pentru a vă conecta, trebuie doar să știți numele rețelei wireless.
• chei-statice-necesare- Modul WEP. Nu primiți sau trimiteți cadre necriptate. Protocol compromis. Nu poate fi folosit sau numai în cazuri extreme (pentru dispozitive mai vechi). Articolul principal - .
• static-keys-optional- Modul WEP. Acceptă criptarea și decriptarea, dar vă permit și să primiți și să trimiteți cadre necriptate. Nu poate fi folosit sau numai în cazuri extreme (pentru dispozitive mai vechi). Articolul principal - .
• taste dinamice- Mod WPA.

Pentru a vă proteja rețeaua fără fir MEREU utilizați modul taste dinamice.

Tipuri de autentificare - un set de tipuri de autentificare acceptate. Clientul se va putea conecta la punctul de acces numai dacă acceptă acest tip autentificare. Opțiuni sugerate: WPA-PSK, WPA2-PSK, WPA-EAP și WPA2-EAR. Diferența tehnică WPA de la WPA2 constă în tehnologie de criptare, în special protocoalele utilizate. WPA folosește protocolul TKIP, WPA2 utilizează protocolul AES. În practică, aceasta înseamnă că WPA2 mai modern oferă un grad mai ridicat de securitate a rețelei. De exemplu, protocolul TKIP vă permite să creați o cheie de autentificare de până la 128 de biți, AES – până la 256 de biți. De fapt, WPA2 este o îmbunătățire față de WPA; WPA2 utilizează protocolul AES, WPA utilizează protocolul TKIP; WPA2 este acceptat de toate dispozitivele wireless moderne; Este posibil ca WPA2 să nu fie acceptat de sistemele de operare mai vechi.

Diferența dintre WPA2-PSK și WPA2-EAR este de unde provin cheile de criptare utilizate în mecanica algoritmului AES. Pentru aplicațiile private (acasă, mici), se utilizează o cheie statică (parolă, cuvânt cod, PSK (Pre-Shared Key)) cu o lungime minimă de 8 caractere, care este setată în setările punctului de acces și este aceeași pentru toți clienții unei rețele wireless date. Compromisul unei astfel de chei (au vărsat boabele unui vecin, un angajat a fost concediat, un laptop a fost furat) necesită o schimbare imediată a parolei pentru toți utilizatorii rămași, ceea ce este realist doar dacă există un număr mic de ei. Pentru aplicațiile corporative, după cum sugerează și numele, este utilizată o cheie dinamică, individuală pentru fiecare client care rulează în prezent. Această cheie poate fi actualizată periodic în timpul funcționării fără întreruperea conexiunii, iar o componentă suplimentară este responsabilă pentru generarea ei - serverul de autorizare și aproape întotdeauna acesta este un server RADIUS.

Nu folosim un server RADIUS, angajații noștri sunt vorbăreț, dar schimbăm și parolele des, așa că alegerea noastră este WPA2-PSK. Lăsăm o bifă doar pe el, dezactivăm toate celelalte protocoale „nesigure”.

Cifre unicast- selectarea tipului de criptare. Clienții se vor putea conecta la punctul dvs. dacă acceptă acest tip de criptare. Două tipuri acceptate tkipȘi aes-ccm. AES este un algoritm modern și mai sigur. Este compatibil cu standardul 802.11n și oferă viteze mari de transfer de date. TKIP este depreciat. Are mai multe nivel scăzut securitate și acceptă rate de transfer de date de până la 54 Mbit/s. În plus, standardul algoritmului CCM necesită utilizarea de noi chei temporare pentru fiecare sesiune nou creată, iar acesta este un plus pentru securitate.

Noi folosim doar aes-ccm.

Cifre de grup- selectarea tipului de criptare. Stația dvs. va încerca să se conecteze doar la puncte de acces care acceptă acest tip de criptare. Descrierea nu este diferită de parametrul anterior.

Noi folosim doar aes-ccm.

WPA-Pre-Partajat Cheie, WPA2 Pre-Partajat Cheie - valoare cheie. Pentru a seta o parolă, utilizați numere, litere mari ȘI litere mici, Simboluri speciale(%, *, @, #, $, ~). Nu uitați să vă schimbați parola în mod regulat (de exemplu, o dată la 15 zile). Mikrotik vă permite să faceți acest lucru cu un script, schimb parola în 10 birouri în același timp, dacă sunteți interesat, o pot descrie într-un articol separat.

Folosim o parolă complexă.

Identitatea suplicantului- identificatorul EAP, care este trimis de client la începutul autentificării EAP. Această valoare este folosită ca valoare pentru atributul User-Name în mesajele RADIUS.

Nu folosim WPA2-EAR - ignorăm valoarea.

Actualizare cheie de grup- timpul cât de des să actualizezi cheia de criptare. Funcția nu funcționează în modul stație. De fapt, puteți modifica valoarea atunci când dispozitivul se defectează de neînțeles (de exemplu, smartphone-urile Android când intră în modul de așteptare).

Lăsați valoarea implicită - 5 minute.

Protecția managementului- protecție împotriva atacurilor de deautentificare și clonării adreselor MAC. Propriul algoritm de protecție a rețelei fără fir de la Mikrotik.

• dezactivat- protecția controlului este dezactivată.
• permis- permiteți utilizarea protecției dacă este susținută de partea de la distanță.
• necesar- necesar. Pentru stația de bază, stabiliți comunicarea numai cu clienții care acceptă Managment Protection. Pentru clienți - stabiliți comunicarea numai cu punctele de acces care acceptă Managment Protection.

Nu folosim Managment Protection - o lăsăm dezactivată.

Cheie de protecție a managementului- Cheie de protecție a managementului.

Câmpul nu este activ dacă nu este utilizată Protecția managementului.

fila RAZĂ.

Autentificare MAC- autorizare prin adresa mac. Această setare se aplică acelor clienți care nu sunt în lista de acces. Serverul RADIUS va folosi adresa MAC a clientului ca nume de utilizator.

Nu bifam caseta.

Contabilitate MAC- activați statisticile MAC.

Nu bifam caseta.

Contabilitate EAP- activați statisticile EAP.

Nu bifam caseta.

Actualizare intermediară- intervalul de timp după care punctul de acces solicită în mod repetat informații despre cont de la serverul Radius.

Parametrul nu poate fi modificat.

Format MAC- formatul în care scriem adresele MAC. Formate disponibile:

XX: XX: XX: XX: XX: XX

XXXX:XXXX:XXXX

XXXXXX: XXXXXX

XX-XX-XX-XX-XX-XX

XXXXXX-XXXXXX

XXXXXXXXXXX

XX XX XX XX XX XX

Specifică modul în care adresa MAC a clientului este codificată de punctul de acces în atributul User-Name al serverului RADIUS.

Parametrul nu poate fi modificat.

Modul MAC- valori:

• ca nume de utilizator- utilizați numai numele atunci când vă autentificați cu serverul RADIUS.
• ca-nume-utilizator-și-parolă- utilizați un nume și o parolă atunci când vă autentificați pe un server RADIUS (ca atribut User-Name).

Parametrul nu poate fi modificat.

Timpul de stocare în cache MAC- perioada de timp după care punctul de acces va stoca în cache răspunsurile de autentificare. Valoarea dezactivată dezactivează memoria cache și toate răspunsurile sunt trimise direct la serverul RADIUS.

Parametrul nu poate fi modificat.

fila EAP.

Metode EAP- Metoda de autentificare EAP. Valori:

• eap-tls- utilizarea autentificării EAP TLS încorporate. Certificatele de suport pentru client și server.
• eap ttls mschapv2- Autentificare EAP cu nume de utilizator și parolă.
• A trece prin- punctul de acces va transmite procesul de autentificare către serverul RADIUS.

Modul TLS- Mod de verificare TLS. Valori:

• verifica certificatul- verifica certificatul.
• nu verifica certificatul- nu verificați certificatele clientului.
• fara certificate- nu utilizați un certificat, utilizați metoda cheii Diffie-Hellman anonime pe 2048 de biți.
• verifica certificatul cu crl- verificați certificatul cu listele CRL (lista de revocare a certificatelor SSL).

Certificat TLS- aici indicam direct certificatul TLS.

Nume de utilizator MSCHAPv2- nume de utilizator pentru autentificare eap ttls mschapv2.

Parola MSCHAPv2- parola pentru autentificare eap ttls mschapv2.

Fila Chei statice.

Această secțiune este activă dacă în fila „General” sunt folosite „chei statice opționale” și „chei statice-necesare”. Este folosit pentru introducerea cheilor.

Tasta 0, Tasta-1, Tasta-2, Tasta-3- reprezentarea hexazecimală a cheii. Lungimea cheii trebuie să corespundă algoritmului selectat (40bit-wep, 104bit-wep, tkip sau aes-ccm).

Cheia de transmitere- punctul de acces va folosi cheia specificată pentru a cripta cadrele pentru clienți și va fi folosit și pentru a cripta cadrele de difuzare și multicast.

Sf. Cheie privată- numai pentru utilizare în modul „stație”. Punctul de acces va folosi cheia corespunzătoare algoritmului selectat (în reprezentarea hexazecimală a cheii).

Lista de acces

Pentru a activa accesul conform regulilor Listei de acces, în fila Interfețe trebuie să deschideți proprietățile interfeței wireless, unde în fila Wireless, debifați parametrul Autentificare implicită.

După debifarea casetei de selectare, accesați Lista de acces și creați o regulă. Poate fi diferit pentru fiecare client, sau comun tuturor.

Adresa mac- adresa MAC a dispozitivului care se va conecta la routerul dvs. Dacă debifați caseta Autentificare implicită și setați aici adresa MAC, atunci numai acest dispozitiv se va putea conecta la rețea. Aceasta este restricția de conectare prin adresele MAC în Mikrotik. Pentru ca un alt dispozitiv să se poată conecta la punctul dvs., trebuie să adăugați MAC-ul său la lista de reguli.

Interfață- interfata la care se va face conexiunea. Dacă specificați „toate”, regula se va aplica tuturor interfețelor wireless ale dispozitivului dumneavoastră.

Interval de putere a semnalului- domeniul de nivel al semnalului la care este posibilă conectarea. Setarea se aplică rețelelor cu roaming fără întreruperiîntre puncte. Servește pentru a se asigura că dispozitivul dvs. nu se lipește de punctul de acces curent până când nivelul semnalului este extrem de slab, ci se reînregistrează pentru punct nou(cu același SSID).

De obicei, se stabilesc un interval ca „-75..120” dacă există mai multe puncte de acces în disponibilitate normală.

Limita AP Tx- limitați rata de transfer de date la acest client. Valoarea „0” - fără restricții.

Client Tx Limit- transmite limita de viteză client. Acceptat numai pe clienții RouterOS.

Autentificare- posibilitate de autorizare. Dacă debifați caseta, dispozitivul cu această adresă MAC nu se va putea conecta la rețeaua dvs.

Redirecționare- capacitatea de a schimba informații cu alți participanți la rețeaua wireless. Dacă debifați acest element, utilizatorul acestui dispozitiv nu va avea acces la alți clienți ai rețelei wifi.

De obicei, într-un punct de acces public, caseta de selectare este debifată pentru a salva trafic și securitate.

Modul VLAN- Folosind VLAN Tagging, puteți separa traficul punctelor de acces wireless virtuale de clienții locali (de exemplu, pentru a separa o rețea de oaspeți de una funcțională). Valori:

• fără etichetă- nu utilizați etichetarea VLAN pe interfața wireless;
• utilizare-serviciu-etichetă- utilizați etichetarea 802.1ad;
• etichetă de utilizare- utilizați etichetarea 802.1q.

VLAN-ID- Identificator VLAN.
Nu folosim VLAN, îl lăsăm implicit - „1”. Cheie privată- capacitatea de a seta o cheie de criptare personală pentru un dispozitiv cu date MAC abordare. Numai pentru modurile WEP.

Cheie privată pre partajată- cheie personală de criptare. Folosit în modul WPA PSK.

Cheie de protecție a managementului- Cheie de protecție a managementului. Managment Protection - protecție împotriva atacurilor de deautentificare și clonării adreselor MAC. Setați pe fila „General” din Profiluri de securitate.

Timp- în această secțiune puteți specifica intervalul de timp în care va fi posibilă conectarea acestui dispozitiv.

Lista de conectare

Interfață- o regulă din lista de conectare poate fi aplicată doar unei singure interfețe wireless. Aici îl selectăm.

Adresa mac- indicați AP-ul MAC la care ne vom conecta.

Conectați- dacă caseta de selectare este bifată, se vor conecta la un punct de acces care corespunde acestei reguli; dacă nu este bifată, nu se vor conecta.

SSID- se va conecta numai la punctele de acces care au SSID-ul specificat, dacă nu este activ - la orice SSID.

Prefix de zonă- regula este valabilă pentru interfața cu prefixul specificat. Zona - vă permite să creați un grup și să includeți dispozitive fără fir în el, apoi să utilizați anumite reguli pentru acest grup și toți membrii săi, în loc să creeze reguli separate pentru fiecare dispozitiv. Această valoare este populată în setările punctului de acces și poate fi corelată cu regulile din lista de conectare.

Interval de putere a semnalului- se va conecta numai la punctele de acces din intervalul de nivel de semnal specificat.

Protocol fără fir- protocol de comunicare wireless. Valori:

• orice- orice suportat (auto-select);
• 802.11 - doar protocoale standard 802.11abgn. Utilizat de obicei pentru compatibilitate cu echipamente de la alți producători;
• nstreme- protocol „proprietar” Mikrotik, caracterizat prin de mare viteză flux de date unidirecțional (RX sau TX);
7) ascundeți SSID-ul rețelei dvs.

8) schimbați MAC-ul interfeței wireless - pentru a îngreuna identificarea dispozitivului.

Primă

Un script care analizează jurnalele Mikrotik. Dacă este primit un mesaj de conexiune cu o parolă incorectă, la lista de acces este adăugată o regulă care interzice acestui client(prin MAC) se va conecta la toate interfețele noastre wireless. Autorul EdkiyGluk, pentru care îi mulțumesc.

:pop local 4
:local mac
: wifi local foreach i in=$wifi do=(
:set mac [:pick 0 ([:len ]-50)]
#:avertisment de jurnal $mac
if ([:len ] >= $pop) do=(
dacă ( = "") face=(
/interface wireless access-list add mac-address=$mac authentication=nu
interfață=toate
}
}
}
#:avertisment de jurnal „FINISH”

Un script în planificator care rulează la fiecare N minute. Pentru a ne asigura că dispozitivele permise nu sunt interzise, ​​le adăugăm în prealabil la Lista de acces.

O altă postare pe computer.

Am construit recent o rețea WiFi cu autentificare 802.1x, folosind certificate pentru a identifica utilizatorii. Printre altele, a trebuit să configuram dispozitivele Android – smartphone-uri și tablete – să funcționeze cu el. Atunci s-a dovedit că era imposibil să găsesc o instrucțiune normală despre cum să faci asta - cele care existau priveau scenarii de parole și am vrut să scap de ele. De aceea am decis să combin informațiile despre această problemă într-o singură postare.

Sunt multe scrise despre ce este 802.1x și cum să-l folosești pe Windows și Linux, așa că aici vom vorbi doar despre configurarea clientului pe Android.

Deci care este scopul? Este necesar să se creeze o rețea cu criptare decentă și autentificare fiabilă, în timp ce se cere ca autentificarea să fie cât mai convenabilă pentru utilizator, dar în același timp protejată de utilizator. Adică, eu, ca administrator, nu vreau ca utilizatorul să poată da altcuiva parola sau fișierul cheie secretă sau să se conecteze de la un dispozitiv de la care nu vreau să-i permit să se conecteze - de exemplu, un laptop personal. În general, întuneric și dictatură.

Pentru a face acest lucru, facem următoarele: un certificat cu o cheie secretă este plasat pe dispozitiv (telefon, tabletă) (o cheie separată pentru fiecare dispozitiv). Gestionarea cheilor în Android este foarte primitivă, dar oferă exact minimul de care avem nevoie - vă permite să importați cheia și să o utilizați, dar nu să o extrageți înapoi (prin macar, fără parolă, pe care nu o vom da). Aceste chei vor fi emise punctului de acces ca răspuns la cerința de a vă prezenta.

Întreaga procedură se încadrează în 4 pași:

1. Se pregătește „stocarea acreditărilor”:
Înainte de a adăuga chei secrete pe dispozitiv, trebuie să pregătiți o unitate de stocare pentru acestea, unde cheile vor fi stocate în formă criptată. Criptarea se va baza pe o parolă, care este introdusă numai la crearea spațiului de stocare. Pentru a utiliza cheia secretă, nu trebuie să introduceți o parolă - doar pentru a o exporta (ceea ce, în plus, nu se poate face prin interfața Android obișnuită). Prin urmare, vom păstra această parolă pentru noi înșine și nu o vom oferi utilizatorului. Râsul malefic este inclus.

[Actualizați: din păcate, nu va funcționa. Când opriți dispozitivul, parola se pierde și va trebui să o introduceți din nou pentru a utiliza cheile. Aceasta are atât părți bune, cât și părți rele:
* Nu va fi posibilă păstrarea secretă a parolei de la utilizator - altfel va trebui să o introduceți de fiecare dată când o porniți.
* Aceasta înseamnă că teoretic utilizatorul poate copia cheia secretă de pe dispozitiv - ceea ce este rău din punct de vedere administrativ. Dar, din câte am înțeles, are nevoie de acces root pentru asta. Obținerea unui astfel de acces este supărătoare, dar nu imposibilă.
* Latura buna Problema este că parola în sine nu este salvată în memoria flash - iar cheile cripto care sunt salvate sunt criptate cu această parolă folosind AES.
* Ei bine, în plus, dacă parola nu a fost încă introdusă la pornire, atunci aceasta oferă protecție față de altcineva care va încerca să folosească cheia fără a cunoaște parola.
]

Parola poate fi schimbată ulterior - dar numai dacă o cunoști pe cea actuală. De asemenea, puteți reseta întreaga stocare - în acest caz parola va dispărea, iar utilizatorul își va putea seta propria, dar odată cu ea și cheia secretă se va pierde irevocabil, la fel ca secretul mierii de pădure.

Procesul propriu-zis: Setări --> Locație și securitate --> Setați parola. Introduceți parola de două ori. După care caseta de selectare „Utilizați acreditări securizate” se va activa automat.

Pentru a schimba parola: „Setați parola” din nou.

Pentru a reseta totul la zero: „Șterge stocarea” în același loc.

2. Importul unui certificat rădăcină:
Trebuie să încărcați un fișier pe dispozitiv cu o extensie .crt (.cer nu este acceptat) și în format PEM, cunoscut și sub numele de Base-64. Puteți face acest lucru prin USB sau prin Bluetooth. Fișierul trebuie copiat în directorul /sdcard - cel care este vizibil ca rădăcină atunci când conectați dispozitivul prin USB sau când vizualizați fișiere prin „Fișierele mele”.

Apoi: Setări --> Locație și securitate -->(deși în acest caz certificatul nu este criptat). Certificatul va fi adăugat la lista celor de încredere, iar fișierul din /sdcard va fi șters.

O modalitate mai convenabilă: publicați certificatul pe un site web și deschideți pur și simplu adresa URL a acestuia în browserul Android nativ (pentru o mai mare fiabilitate, utilizați un serviciu web binecunoscut prin https sau un site pur intern). Acesta va întreba imediat dacă să adauge sau nu certificatul la lista celor de încredere. Pentru a nu introduce URL-ul manual, puteți genera un cod QR cu acesta și apoi pur și simplu îl scanați.

3. Importul unui certificat de utilizator cu o cheie privată:
Un fișier cu o cheie secretă în format PKCS#12 și cu extensia .p12 este plasat în /sdcard (.pfx, din nou, este ignorat). Există multe modalități de a crea un astfel de fișier - nu le voi enumera, dar voi reține că merită să setați o parolă unică pentru el, o cheie de criptare.
Apoi din nou, Setări --> Locație și securitate --> Instalați certificate criptate. De data aceasta vi se va cere o parolă. Acesta nu este cel care a fost specificat la crearea stocării, ci cel care este necesar pentru a decripta cheia din fișier. După introducerea parolei, cheia va fi decriptată și salvată din nou, criptată - de data aceasta, cu parola seifului. Fișierul va fi șters din /sdcard, ceea ce ni se potrivește perfect.

Puteți, de asemenea, să aruncați un fișier .p12 printr-o adresă URL, dar eu nu aș face - spre deosebire de certificate, deplasarea cheii, chiar dacă este criptată, ar trebui evitată.

4. Conexiune la rețea în sine:
După ce cheia a fost setată, tot ce rămâne sunt setările rețelei WiFi. Nu există nimic secret în această etapă; îl puteți lăsa utilizatorilor trimițând instrucțiuni.
Asa de: Setări --> Wireless și rețea --> Setări Wi-Fi. Găsiți rețeaua în listă sau, dacă SSID-ul este ascuns, faceți clic pe „Adăugați rețea Wi-Fi”.
Apoi:



Pe dispozitivele mai avansate, puteți specifica și setări proxy pentru fiecare rețea, ceea ce este foarte convenabil.

Toate. După aceasta, utilizatorul va trebui doar să facă clic pe numele rețelei și să se conecteze. Dacă, prin nepăsare, face cumva clic pe „Uitați rețeaua” și șterge setările, pentru a o restabili, trebuie doar să treceți din nou prin pasul 4 - procedura nu este secretă, utilizatorul o poate face singur.

Note:
Practic, există și o opțiune PEAP. Protocolul PEAP-EAP-TLS este considerat puțin mai sigur - de exemplu, certificatul utilizatorului este trimis în formă criptată printr-un tunel TLS stabilit. Cu toate acestea, eforturile mele de a face ca Android să funcționeze în acest mod au fost în zadar. Bănuiesc că ideea este că câmpul „Autentificare în faza 2” nu conține o opțiune pentru utilizarea unui certificat de utilizator - așa că trebuie să vă mulțumiți cu EAP-TLS, care nu are nevoie de nicio fază 2. Dar diferența este minimă și nesemnificativă.

Habar nu am de ce este nevoie. În principiu, utilizatorul trebuie să fie identificat prin câmpul CN din certificat.

• Tutorial

Din punct de vedere practic, ar fi convenabil să gestionezi rețelele Wi-Fi prin emiterea unei parole fiecărui utilizator. Acest lucru facilitează accesul la rețeaua dvs. wireless. Folosind așa-numita autorizare WPA2 PSK, pentru a preveni accesul la un utilizator aleatoriu, trebuie să schimbați cheia și, de asemenea, să treceți din nou prin procesul de autorizare pentru fiecare individ. Dispozitiv Wi-Fi. În plus, dacă aveți mai multe puncte de acces, cheia trebuie schimbată pe toate. Și dacă trebuie să ascundeți parola cuiva, va trebui să oferiți tuturor angajaților una nouă.

Să ne imaginăm o situație - altcineva (client, contraparte?) vine în biroul tău și trebuie să-i dai acces la Internet. În loc să-i dai o cheie WPA2, poți să-i faci un cont separat, care poate fi apoi șters și blocat după ce pleacă. Acest lucru vă va oferi flexibilitate în gestionarea contului, iar utilizatorii dvs. vor fi foarte mulțumiți.

Vom face o diagramă convenabilă folosită în rețele corporative, dar în întregime din mijloace improvizate cu investiții financiare și hardware minime. Va fi aprobat de către serviciul de securitate și conducere.

Puțină teorie

Cândva, inginerii IEEE au venit cu standardul 802.1x. Acest standard este responsabil pentru capacitatea de a autoriza imediat un utilizator atunci când se conectează la un mediu de transmisie de date. Cu alte cuvinte, dacă pentru o conexiune, de exemplu, PPPoE, te conectezi la un mediu (switch) și poți deja transfera date, este nevoie de autorizare pentru a accesa Internetul. Cu 802.1x, nu veți putea face nimic până nu vă conectați. Dispozitivul final în sine nu vă va permite. Situația este similară cu punctele de acces Wi-Fi. Decizia de admitere se face pe un server de autorizare extern. Acesta ar putea fi RADIUS, TACACS, TACACS+ etc.

Terminologie

În general, autorizarea utilizatorului la un moment dat poate fi de următoarele tipuri:

• Deschis - disponibil pentru toată lumea
• WEP este vechea criptare. Toată lumea este deja convinsă că nu ar trebui folosit deloc.
• WPA - Utilizează TKIP ca protocol de criptare
• Se folosește criptarea WPA2 - AES

Acum să ne uităm la opțiunile pentru modul în care punctul de acces însuși află dacă este posibil să ofere utilizatorului acces la rețea sau nu:

• WPA-PSK, WPA2-PSK - cheia de acces este situată în punctul însuși.
• WPA-EAP, WPA2-EAP - cheia de acces este verificată cu o bază de date de la distanță pe un server terță parte

Există, de asemenea, destul un numar mare de metode de conectare a dispozitivului final la serverul de autorizare (PEAP, TLS, TTLS...). Nu le voi descrie aici.

Diagrama generală a rețelei

Pentru o înțelegere mai clară, să vă prezentăm schema generala activitatea viitoarei noastre scheme:

Cu cuvinte, atunci când se conectează la un punct Wi-Fi, clientului i se cere să introducă un login și o parolă. După ce ați primit datele de conectare și Parola Wi-Fi punctul transmite aceste date serverului RADIUS, la care serverul raspunde cu ce se poate face cu acest client. În funcție de răspuns, punctul decide dacă îi oferă acces, reduce viteza sau altceva.
Serverul nostru cu freeradius instalat va fi responsabil pentru autorizarea utilizatorului. Freeradius este o implementare a protocolului RADIUS, care, la rândul său, este o implementare a protocolului generic AAA. AAA este un set de instrumente pentru a face următoarele:
Autentificare - verifică validitatea login-ului și a parolei.
Autorizare - verifică permisiunea de a efectua anumite acțiuni.
Contabilitate - ia în considerare acțiunile dumneavoastră în sistem.
Protocolul în sine transmite numele de utilizator, o listă de atribute și valorile acestora pentru el. Adică, de exemplu, atributul Auth-Type:= Reject - respinge acest client și Client-Password == „parolă” - compară atributul din cerere cu valoarea parolei.
În general, baza de date de conturi și drepturi pentru acestea nu trebuie să fie stocată pe un server RADIUS, iar baza de date poate fi orice - utilizatori niks, utilizatori domeniul Windows... da, cel puțin un fișier text. Dar în cazul nostru totul va fi într-un singur loc.

Configurare de bază

În acest articol, ne va interesa în primul rând metoda de autentificare WPA2-EAP/TLS.
Aproape toate punctele de acces Wi-Fi moderne care costă mai mult de 3 mii de ruble susțin tehnologia de care avem nevoie. Dispozitivele client acceptă acest lucru și mai mult.
În acest articol voi folosi următorul hardware și software:

• Punct de acces Ubiquiti NanoStation M2
• Gentoo și serverul Freeradius
• Echipament client cu software instalat Windows 7, Android, iOS

Configurarea unui punct de acces

Principalul lucru este că punctul acceptă metoda de autentificare necesară. Poate fi numit diferit în diferite dispozitive: WPA-EAP, WPA2 Enterprise etc. În orice caz, selectați autentificare, setați adresa IP și portul serverului RADIUS și cheia pe care am introdus-o în clients.conf la configurarea Freeradius.
Voi da o poză din punctul Ubiquiti configurat. Elementele care trebuie schimbate sunt marcate cu o bifă.

server RADIUS

Să mergem la computerul nostru Linux și să instalăm un server RADIUS. Am luat freeradius și l-am instalat pe gentoo. Spre surprinderea mea, nu există materiale pe RuNet legate de configurarea Freeradius 2 pentru scopurile noastre. Toate articolele sunt destul de vechi și se referă la versiuni mai vechi ale acestui software.
root@localhost ~ # emerge -v freeradius
Asta este :) Serverul RADIUS poate rula deja :) Puteți verifica așa:
Acesta este modul de depanare. Toate informațiile sunt transferate pe consolă. Să începem configurarea.
Așa cum este de obicei în Linux, configurarea se face prin fișiere de configurare. Fișierele de configurare sunt stocate în /etc/raddb. Hai să o facem acţiuni pregătitoare- copiați configurațiile originale, curățați configurația de orice gunoi.
root@localhost ~ # cp -r /etc/raddb /etc/raddb.olg root@localhost ~ # find /etc/raddb -type f -exec file () \; | grep „text” | cut -d":" -f1 | xargs sed -i "/^ *\t* *#/d;/^$/d"
Apoi, să adăugăm un client - un punct de acces. Adaugă în fișierul /etc/raddb/clients următoarele rânduri:
root@localhost ~ # cat /etc/raddb/clients.conf | sed "/client test-wifi/,/)/!d" client test-wifi ( ipaddr = 192.168.0.1 #adresa IP a punctului care va accesa radius secret = secret_key #Secret key. Același lucru va trebui să fie instalat pe punctul Wi-Fi Fi. require_message_authenticator = nu #Este mai bine așa, cu ceva D-Link nu aș putea face altfel)
Apoi, adăugați un domeniu pentru utilizatori. Să o facem implicit.
root@localhost ~ # cat /etc/raddb/proxy.conf | sed "/realm DEFAULT/, /^)/!d" realm DEFAULT ( tip = rază authhost = LOCAL accost = LOCAL )

Domenii în RADIUS

Trebuie remarcat aici că puteți împărți utilizatorii pe domenii. Și anume, domeniul poate fi specificat în formatul numelui de utilizator (de exemplu, user@radius). DEFAULT înseamnă orice domeniu nedefinit. NULL - fără domeniu. În funcție de domeniu (puteți spune prefixul în numele de utilizator), puteți diverse actiuni, cum să acordați dreptul de a se autentifica la o altă gazdă, dacă să separați numele de domeniu în timpul verificării autentificarii etc.

Și, în sfârșit, adăugați utilizatori în fișierul /etc/raddb/users:
root@localhost ~ # cat /etc/raddb/users | sed "10,$!d" user1 Cleartext-Password:= "parola1" user2 Cleartext-Password:= "parola2" user3 Cleartext-Password:= "parola3"
Wow, putem începe!
root@localhost ~ # radiusd -fX
Serverul nostru rulează și așteaptă conexiuni!

Stabilirea clienților

Să trecem peste configurația de bază dispozitivele utilizatorului. Angajații noștri au clienți care rulează Android, iOS și Windows 7. Să facem imediat o rezervare: deoarece folosim certificate auto-create, trebuie să facem diverse excepții de mai multe ori și să confirmăm acțiunile. Dacă am fi folosit certificate achiziționate, poate că totul ar fi fost mai simplu.

Lucrurile sunt mai ușor pentru toată lumea pe dispozitivele iOS. Introduceți numele de utilizator și parola, faceți clic pe „Acceptați certificatul” și continuați.

Captură de ecran de pe iOS

Pare puțin mai complicat, dar în practică totul este simplu și pe Android. Mai sunt câteva câmpuri de introducere.

Captură de ecran de pe Android

Ei bine, pe Windows 7 va trebui să-l configurați puțin. Să facem următorii pași:
Să mergem la centrul de conexiune wireless.

1. Setați parametrii necesari în proprietățile conexiunii dvs. wireless
2. Setați parametrii necesari în setările avansate EAP
3. Setați parametrii necesari în setările avansate Parametri suplimentari
4. Conectați-vă la rețeaua Wi-Fi în bara de activități și introduceți parola de conectare, bucurați-vă de acces la Wi-Fi

Capturi de ecran Windows

Pasul 1


Pasul 2

Pasul 3


Pasul 4

Pasul 5

Mini-facturare proprie

Acum a mai rămas o singură problemă - dacă doriți să adăugați sau să eliminați un utilizator nou, va trebui să schimbați utilizatorii și să reporniți raza. Pentru a evita acest lucru, să conectăm baza de date și să facem propria noastră mini-facturare pentru utilizatori. Folosind o bază de date, puteți oricând să scrieți un script simplu pentru a adăuga, bloca sau schimba o parolă de utilizator. Și toate acestea se vor întâmpla fără a opri întregul sistem.

Pentru mine, am folosit Postgres, dar poți alege la discreția ta. Ofer configurarea de bază a Postgres fără a intra în diferitele drepturi de acces, parole și alte trucuri și facilități.

Mai întâi, să creăm baza de date în sine:

Root@localhost ~ # psql -U postgres radius_wifi=> creează utilizatorul radius_wifi cu parola 1111; radius_wifi=> creați baza de date radius_wifi cu proprietar=radius_wifi; radius_wifi =>\q

În continuare, trebuie să creați tabelele necesare. În general, Freeradius vine cu documentație privind schemele de tabel pentru diverse baze date, deși în distribuții diferite sunt situate în locuri diferite. Eu personal am asta în /etc/raddb/sql/postgresql/schema.sql. Lipiți aceste linii în psql sau rulați

Root@localhost ~ # cat /etc/raddb/sql/postgresql/schema.sql | psql -U radius_wifi radius_wifi

Pentru orice eventualitate, voi adăuga aici o diagramă pentru Postgres:

Schema pentru Postgres

root@localhost ~ # cat /etc/raddb/sql/postgresql/schema.sql | sed "/^--/d;/\/\*/d;/\*/d;/^$/d;" CREATE TABLE radacct (RadAcctId BIGSERIAL PRIMARY KEY, AcctSessionId VARCHAR(64) NOT NULL, AcctUniqueId VARCHAR(32) NOT NULL UNIQUE, UserName VARCHAR(253), GroupName VARCHAR(253), Realm VARCHAR(64), NASIdAddress, NASIdPort INET VARCHAR(15), NASPortType VARCHAR(32), AcctStartTime TIMESTAMP cu fusul orar, AcctStopTime TIMESTAMP cu fusul orar, AcctSessionTime BIGINT, AcctAuthentic VARCHAR(32), ConnectInfo_start VARCHAR(50), ConnectInfo_stop VARCHARINT(50), B AcputetInputOct, BIGINTOctO CalledStationId VARCHAR(50), CallingStationId VARCHAR(50), AcctTerminateCause VARCHAR(32), ServiceType VARCHAR(32), XAscendSessionSvrKey VARCHAR(10), FramedProtocol VARCHAR(32), FramedIPAddress INET, AcctStartINTECTDelay INTEGER; CREATE INDEX radacct_active_user_idx ON radacct (UserName, NASIPAddress, AcctSessionId) WHERE AcctStopTime ESTE NULL; CREATE INDEX radacct_start_user_idx ON radacct(AcctStartTime, UserName); CREATE TABLE radcheck (id SERIAL PRIMARY KEY, UserName VARCHAR(64) NOT NULL DEFAULT "", Atribut VARCHAR(64) NOT NULL DEFAULT "", op CHAR(2) NOT NULL DEFAULT "==", Value VARCHAR(253) NOT NULL DEFAULT ""); creați indexul radcheck_UserName pe radcheck(UserName,Attribute); CREATE TABLE radgroupcheck (id SERIAL PRIMARY KEY, GroupName VARCHAR(64) NOT NULL DEFAULT "", Atribut VARCHAR(64) NOT NULL DEFAULT "", op CHAR(2) NOT NULL DEFAULT "==", Value VARCHAR(253) NOT NULL DEFAULT ""); creați indexul radgroupcheck_GroupName pe radgroupcheck(GroupName,Attribute); CREATE TABLE radgroupreply (id SERIAL PRIMARY KEY, GroupName VARCHAR(64) NOT NULL DEFAULT "", Atribut VARCHAR(64) NOT NULL DEFAULT "", op CHAR(2) NOT NULL DEFAULT "=", Valoare VARCHAR(253) NOT NULL MOD IMPLICIT ""); creați indexul radgroupreply_GroupName pe radgroupreply(GroupName,Attribute); CREATE TABLE radreply (id SERIAL PRIMARY KEY, UserName VARCHAR(64) NOT NULL DEFAULT "", Atribut VARCHAR(64) NOT NULL DEFAULT "", op CHAR(2) NOT NULL DEFAULT "=", Valoare VARCHAR(253) NOT NULL MOD IMPLICIT ""); creați indexul radreply_UserName pe radreply(UserName,Attribute); CREATE TABLE radusergroup (UserName VARCHAR(64) NOT NULL DEFAULT "", GroupName VARCHAR(64) NOT NULL DEFAULT "", prioritate INTEGER NOT NULL DEFAULT 0); creați indexul radusergroup_UserName pe radusergroup(UserName); CREATE TABLE radpostauth (id BIGSERIAL PRIMARY KEY, nume de utilizator VARCHAR(253) NOT NULL, trece VARCHAR(128), răspuns VARCHAR(32), CalledStationId VARCHAR(50), CallingStationId VARCHAR(50), authdate TIMESTAMP cu fusul orar NOT NULL implicit " acum()");

Super, baza este pregătită. Acum să configuram Freeradius.
Dacă nu este acolo, adăugați linia în /etc/raddb/radiusd.conf

$INCLUDE sql.conf

Acum editați /etc/raddb/sql.conf pentru a se potrivi cu realitatea dvs. Pentru mine arata asa:

My sql.conf

root@localhost ~ # cat /etc/raddb/sql.conf sql ( baza de date = driver "postgresql" = "rlm_sql_$(baza de date)" server = "localhost" login = "radius_wifi" parola = "1111" radius_db = "radius_wifi" acct_table1 = "radacct" acct_table2 = "radacct" postauth_table = "radpostauth" authcheck_table = "radcheck" authreply_table = "radreply" groupcheck_table = "radgroupcheck" groupreply_table = "radgroupreply" usergroup_table = "sesiunea de grup de utilizatori" = "sesiunea de grup de utilizatori" cefile = $( logdir)/sqltrace.sql num_sql_socks = 5 connect_failure_retry_delay = 60 lifetime = 0 max_queries = 0 nas_table = "nas" $INCLUDE sql/$(database)/dialup.conf )

Să adăugăm câțiva utilizatori noi test1, test2, test3 și... block test3

Root@localhost ~ # psql -U postgres radius_wifi=> inserați în valorile radcheck (nume utilizator, atribut, op, valoare) ("test1", "Cleartext-Password", ":=", "1111"); radius_wifi => inserați în radcheck (nume utilizator, atribut, op, valoare) valori ("test2", "Cleartext-Password", ":=", "1111"); radius_wifi => inserați în radcheck (nume utilizator, atribut, op, valoare) valori ("test3", "Cleartext-Password", ":=", "1111"); radius_wifi => inserați în valorile radcheck (nume utilizator, atribut, op, valoare) ("test3", "Auth-Type", ":=", "Reject");

Ei bine, repornim freeradius și încercăm să ne conectăm. Totul ar trebui să funcționeze!

Desigur, facturarea s-a dovedit a fi defectuoasă - nu stocăm informații contabile (contabilizarea acțiunilor utilizatorilor) nicăieri, dar nici aici nu avem nevoie de asta. Pentru a menține un cont, aveți nevoie și de puncte Wi-Fi care sunt mai scumpe decât 3 mii de ruble. Dar deja putem gestiona cu ușurință utilizatorii.
raza Adăugați etichete