Комментарии 23
Какое оборудование и сколько для этого пользовали? Тачсвич Про??? Сколько сотрудников потянет?
Ну… На 5-7 человек может и пойдет. Вопросы:
1. Как авторизуются компьютеры до авторизации пользователя? Что там с доменными политиками для компьютера? Что будет делать человек если у него протух локальный кеш керберос-тикетов?
2. Как авторизуются пользователи?
3. Зачем на радиус прописывать каждую точку? Кто занимается авторизацией?
4. Решение с nat-ом вообще адски странное.
1. Как авторизуются компьютеры до авторизации пользователя? Что там с доменными политиками для компьютера? Что будет делать человек если у него протух локальный кеш керберос-тикетов?
2. Как авторизуются пользователи?
3. Зачем на радиус прописывать каждую точку? Кто занимается авторизацией?
4. Решение с nat-ом вообще адски странное.
Какие алгоритмы, на Ваш взгляд, были бы оптимальными для решения своих же вопросов?
Доменные компьютеры отлично работают по кабелю. 802.1х и аутентификация по сертификату компьютера на свичах, wifi в первую очередь для телефонов и планшетов. В чем проблема с кэш-ем тикетов? И при чем здесь вообще авторизация пользователей?
«Зачем на радиус прописывать каждую точку? Кто занимается авторизацией?» потому что запросы аутентификации идут от точки, а не от UniFi контроллера, поэтому каждая точка должна быть прописана на Radius-сервере как клиент, или есть альтернативы? Для этого и нат, все точки в своем влане, на Радиусе добавлен только один клиент с адресом nat-сервера. Если этому есть разумная альтернатива, готов выслушать предложения.
«Зачем на радиус прописывать каждую точку? Кто занимается авторизацией?» потому что запросы аутентификации идут от точки, а не от UniFi контроллера, поэтому каждая точка должна быть прописана на Radius-сервере как клиент, или есть альтернативы? Для этого и нат, все точки в своем влане, на Радиусе добавлен только один клиент с адресом nat-сервера. Если этому есть разумная альтернатива, готов выслушать предложения.
При добавлении RADIUS клиента в NPS поддерживается CIDR-синтаксис в поле «адрес». Можно сразу всю подсеть с точками добавить как одного клиента.
NAT, конечно, оригинально, но…
NAT, конечно, оригинально, но…
Есть доменные ноутбуки. А есть ноуты, у которых вообще нет разъема под сеть.
Проблема с кэшем что человек в принципе не сможет залогинится если у него нет локального пользователя.
У всех нормальных продакшен-решений aaa происходит именно на контроллере. Он в принципе то для этого и нужен в том числе.
Ну а решение с натом — это костыль из-за странного поведения контроллера.
Ну а разумная альтернатива — нормальное решение для корпоративного вифи — Aruba, cisco, Zyxel, Motorola, Juniper, HP
Проблема с кэшем что человек в принципе не сможет залогинится если у него нет локального пользователя.
У всех нормальных продакшен-решений aaa происходит именно на контроллере. Он в принципе то для этого и нужен в том числе.
Ну а решение с натом — это костыль из-за странного поведения контроллера.
Ну а разумная альтернатива — нормальное решение для корпоративного вифи — Aruba, cisco, Zyxel, Motorola, Juniper, HP
Прошу простить автора
plotnikovasiliy комментария об использовании NAS-id, случайно нажал «отклонить» вместо «ответить». Я не уверен, что на UBNT можно указать NAS-id для SSID, сейчас там передается MAC-адрес точки и это поле не изменяется.
plotnikovasiliy комментария об использовании NAS-id, случайно нажал «отклонить» вместо «ответить». Я не уверен, что на UBNT можно указать NAS-id для SSID, сейчас там передается MAC-адрес точки и это поле не изменяется.
Нубский вопрос — а как клиент узнает свой код ваучера?
Нет никаких подробностей о настройке RADIUS в Windows.
У нас такая архитектура прекрасно себя зарекомендовала и работает уже несколько лет. Отличная управляемость, масштабируемость. Доменные пользователи на ноутбуках никак не ущемлены, входят по сертификату, авторизация для них прозрачна.
Блин, как заапрувить отклоненный комментарий? Второй раз на те же грабли (((
Vit_habr, сорри
«Автор, а можно поподробнее по настройке каналов между этим всем? На точку отдаётся trunk? 5 vlan native у вас?»
Да, к точке идет транк с 5-м native vlan.
Vit_habr, сорри
«Автор, а можно поподробнее по настройке каналов между этим всем? На точку отдаётся trunk? 5 vlan native у вас?»
Да, к точке идет транк с 5-м native vlan.
А почему не используете вкладку Hotspot 2.0?
И, да, можно подробно про настройку VLANов на коммутаторах UniFi (как- то у них это реализовано, не как общепринято)?
И, да, можно подробно про настройку VLANов на коммутаторах UniFi (как- то у них это реализовано, не как общепринято)?
Интересно, не научились ли данные поделки понимать Radius VLAN assigment?
Что позволяют взрослые вендоры.
Что позволяют взрослые вендоры.
Не думаю, что это очень актуально для беспроводных девайсов, влан привязан к ssid, в отдельных ssid вообще без radius аутентификация. Для проводных — да, удобно. Но из личного опыта, были проблемы с dhcp, когда адрес выдавался до переключения в нужный влан и потом приходилось руками делать renew. Уже не помню как именно решал эту проблему.
Фича ОЧЕНЬ актуальна! Позволяет в зависимости от типа авторизации (сертификат или логин/пароль) закидывать одного и того же пользователя в разные сети. Например доменный ноутбук попадет во внутреннюю сеть, а телефон получит доступ сильно ограниченный. И т.д. При этом используется один SSID (которых всего может быть только 4).
Отвечу на свой вопрос сам: Пришлось внедрить сабж. Описанный функционал появился в релизе 5.4.11.
Позиционируется как фича для бета-тестирования. Но работает стабильно и использует стандартные атрибуты радиуса.
Сабж невероятно радует. Т.к. гибкость и удобство настройки колоссально меняются.
А вот роуминга так и нет нормального. Точнее на контроллере галочка есть. А точки не умеют (((
Позиционируется как фича для бета-тестирования. Но работает стабильно и использует стандартные атрибуты радиуса.
Сабж невероятно радует. Т.к. гибкость и удобство настройки колоссально меняются.
А вот роуминга так и нет нормального. Точнее на контроллере галочка есть. А точки не умеют (((
SWITCH какой используете?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Корпоративный wifi на UBNT с порталом и доменной аутентификацией