Комментарии 23
Какое оборудование и сколько для этого пользовали? Тачсвич Про??? Сколько сотрудников потянет?
0
Ну… На 5-7 человек может и пойдет. Вопросы:
1. Как авторизуются компьютеры до авторизации пользователя? Что там с доменными политиками для компьютера? Что будет делать человек если у него протух локальный кеш керберос-тикетов?
2. Как авторизуются пользователи?
3. Зачем на радиус прописывать каждую точку? Кто занимается авторизацией?
4. Решение с nat-ом вообще адски странное.
1. Как авторизуются компьютеры до авторизации пользователя? Что там с доменными политиками для компьютера? Что будет делать человек если у него протух локальный кеш керберос-тикетов?
2. Как авторизуются пользователи?
3. Зачем на радиус прописывать каждую точку? Кто занимается авторизацией?
4. Решение с nat-ом вообще адски странное.
0
Какие алгоритмы, на Ваш взгляд, были бы оптимальными для решения своих же вопросов?
0
Доменные компьютеры отлично работают по кабелю. 802.1х и аутентификация по сертификату компьютера на свичах, wifi в первую очередь для телефонов и планшетов. В чем проблема с кэш-ем тикетов? И при чем здесь вообще авторизация пользователей?
«Зачем на радиус прописывать каждую точку? Кто занимается авторизацией?» потому что запросы аутентификации идут от точки, а не от UniFi контроллера, поэтому каждая точка должна быть прописана на Radius-сервере как клиент, или есть альтернативы? Для этого и нат, все точки в своем влане, на Радиусе добавлен только один клиент с адресом nat-сервера. Если этому есть разумная альтернатива, готов выслушать предложения.
«Зачем на радиус прописывать каждую точку? Кто занимается авторизацией?» потому что запросы аутентификации идут от точки, а не от UniFi контроллера, поэтому каждая точка должна быть прописана на Radius-сервере как клиент, или есть альтернативы? Для этого и нат, все точки в своем влане, на Радиусе добавлен только один клиент с адресом nat-сервера. Если этому есть разумная альтернатива, готов выслушать предложения.
0
При добавлении RADIUS клиента в NPS поддерживается CIDR-синтаксис в поле «адрес». Можно сразу всю подсеть с точками добавить как одного клиента.
NAT, конечно, оригинально, но…
NAT, конечно, оригинально, но…
+1
Есть доменные ноутбуки. А есть ноуты, у которых вообще нет разъема под сеть.
Проблема с кэшем что человек в принципе не сможет залогинится если у него нет локального пользователя.
У всех нормальных продакшен-решений aaa происходит именно на контроллере. Он в принципе то для этого и нужен в том числе.
Ну а решение с натом — это костыль из-за странного поведения контроллера.
Ну а разумная альтернатива — нормальное решение для корпоративного вифи — Aruba, cisco, Zyxel, Motorola, Juniper, HP
Проблема с кэшем что человек в принципе не сможет залогинится если у него нет локального пользователя.
У всех нормальных продакшен-решений aaa происходит именно на контроллере. Он в принципе то для этого и нужен в том числе.
Ну а решение с натом — это костыль из-за странного поведения контроллера.
Ну а разумная альтернатива — нормальное решение для корпоративного вифи — Aruba, cisco, Zyxel, Motorola, Juniper, HP
0
Прошу простить автора
plotnikovasiliy комментария об использовании NAS-id, случайно нажал «отклонить» вместо «ответить». Я не уверен, что на UBNT можно указать NAS-id для SSID, сейчас там передается MAC-адрес точки и это поле не изменяется.
plotnikovasiliy комментария об использовании NAS-id, случайно нажал «отклонить» вместо «ответить». Я не уверен, что на UBNT можно указать NAS-id для SSID, сейчас там передается MAC-адрес точки и это поле не изменяется.
0
Нубский вопрос — а как клиент узнает свой код ваучера?
0
Нет никаких подробностей о настройке RADIUS в Windows.
0
У нас такая архитектура прекрасно себя зарекомендовала и работает уже несколько лет. Отличная управляемость, масштабируемость. Доменные пользователи на ноутбуках никак не ущемлены, входят по сертификату, авторизация для них прозрачна.
0
А почему не используете вкладку Hotspot 2.0?
И, да, можно подробно про настройку VLANов на коммутаторах UniFi (как- то у них это реализовано, не как общепринято)?
И, да, можно подробно про настройку VLANов на коммутаторах UniFi (как- то у них это реализовано, не как общепринято)?
0
Интересно, не научились ли данные поделки понимать Radius VLAN assigment?
Что позволяют взрослые вендоры.
Что позволяют взрослые вендоры.
0
Не думаю, что это очень актуально для беспроводных девайсов, влан привязан к ssid, в отдельных ssid вообще без radius аутентификация. Для проводных — да, удобно. Но из личного опыта, были проблемы с dhcp, когда адрес выдавался до переключения в нужный влан и потом приходилось руками делать renew. Уже не помню как именно решал эту проблему.
0
Фича ОЧЕНЬ актуальна! Позволяет в зависимости от типа авторизации (сертификат или логин/пароль) закидывать одного и того же пользователя в разные сети. Например доменный ноутбук попадет во внутреннюю сеть, а телефон получит доступ сильно ограниченный. И т.д. При этом используется один SSID (которых всего может быть только 4).
0
Отвечу на свой вопрос сам: Пришлось внедрить сабж. Описанный функционал появился в релизе 5.4.11.
Позиционируется как фича для бета-тестирования. Но работает стабильно и использует стандартные атрибуты радиуса.
Сабж невероятно радует. Т.к. гибкость и удобство настройки колоссально меняются.
А вот роуминга так и нет нормального. Точнее на контроллере галочка есть. А точки не умеют (((
Позиционируется как фича для бета-тестирования. Но работает стабильно и использует стандартные атрибуты радиуса.
Сабж невероятно радует. Т.к. гибкость и удобство настройки колоссально меняются.
А вот роуминга так и нет нормального. Точнее на контроллере галочка есть. А точки не умеют (((
0
SWITCH какой используете?
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Корпоративный wifi на UBNT с порталом и доменной аутентификацией