Как стать автором
Обновить

Комментарии 26

Спасибо. Все доходчиво и понятно.
Вот еще про DIAMETR ( habrahabr.ru/post/164203/ ) — это развитие стандарта RADIUS.
Да, про диаметр я слышал. Но железок, работающих с ним, практически нет. Если только дорогой корпоративный сегмент.
По части вебморды — есть daloradius
Хорошая статья, спасибо.
Стараюсь придать хабру старый инженерный вид. Четкая тематика без абстрактной болтовни, в стиле opennet.ru, только с картиночками:)
Вот за это отдельная спасибо.
Статья хорошая, с чувством, с расстановкой!
Это благодаря тому, что все описанное реализовано и ряд людей консультировались со мной, как им сделать что-то похожее. Вообще, мне понравилась такая стратегия написания технических статей: делаешь, рассказываешь другим, собираешь вопросы, пишешь так, чтобы вопросов не осталось.
Стоило наверное упомянуть, что при использовании самоподписанных сертификатов и отключении проверки (шаг 3), безопасность WPA2-ENT становится в разы слабее чем WPA2-PSK. При отключении проверки и активных клиентах получить доступ к такой сети проще, чем к WEP. Поэтому данная конфигурация, без «разорения на сертификат», не рекомендуется к использованию :)
Конечно же в теории — да. Но мы живем в немного других условиях. И для маленьких контор до 20 человек с максимум 3-мя хотспотами этот способ отлично подойдет. В таких предприятиях главное то, чтоб мужик из соседнего офиса не пользовал ваш интернет, а потенциальный контрагент мог бы почитать почту с планшета с гостевым логином.
Если конторе есть что скрывать, она может разориться на подписанный сертификат. Freeradius его отлично проглотит. А если уж совсем захочет, то купит еще и контроллер беспроводных точек с кучей всяких вкусностей.
Собственно с такой конфигурацией они и займутся:
мужик из соседнего офиса не пользовал ваш интернет, а потенциальный контрагент мог бы почитать почту с планшета с гостевым логином

Для таких контор WPA2-PSK намного надежнее, а если уж хочется WPA2-ENT, то стоит не снимать эту пресловутую галку и просто вручную поставить везде ваш корневой сертификат.
Стандартный способ (как с сертификатами для SSL) разве не работает?
Что-то я про это не подумал. В свободное время попробую. Если подойдет, статью обновлю с дополнительными способами подключения клиентов:)
Чтобы вести аккаунтинг, необходимы еще и Wi-Fi точки подорооже, чем 3 тыс. рублей.
А насоветуйте? Что-нибудь минимальное.
Я бы посоветовал что-то с DD-WRT (какой-нибудь Mikrotik). Но точно не могу сказать. Знаю точно, что есть на Aironet'ах от Cisco.
А какую информацию они могут отдавать по аккаунтингу?
Тут страница 113
Есть ли более другие методы авторизации, не требующие добавления сертификата?
Описанный в статье метод пропускает момент с серьификатами. А с сертификатами тоже есть два варианта: либо просто добавление вашего серверного сертификата в пользовательские телефон — при этом пользователь будет также вводить логин и пароль. Либо добавить на устройство пользователя пользовательский сертификат, при этом не надо будет вводить ничего.

Как вариант — поставить отдельную точку или, если позволяет устройство, второе SSID, и разрешить с него только доступ к почте. Из почты можно добавлять ключи в любое устройство.
Можно небольшое занудное замечание?
До конца статьи я ещё не дочитал (сама статья интересная, если что), но
emerge -vp
-p

Все:) RADIUS-сервер уже может работать:)

:(
Да, надо без -p
P.S. досчитал статью и родился вопрос о том, как в iOS/Android/Win с добавлением в корневое хранилище сертификата своего наколеночного CA?
// как в GNU/Linux-то я, например, знаю…
Вот, сейчас как раз пишу статью о генерации сертификатов, и их добавление в разные пользовательские устройства. Объем опять же довольно большо получается, и проверить надо много чего. Думаю, через неделю закончу.
Извините, а где статья?
Решил у себя поковырять WPA2-Ent на т.д. Unifi с LDAP-бакэндом для radius'a. В качестве LDAP-а используется Zimbra Collaboration Suite 8.0.
Проблема состоит в том, что если тестировать через radtest — все ок, а вот если с устройства (пробовал на своей WP8 и каком-то стареньком андроиде) — не удается подключиться.

в дебаге пишет следующее:
Кусок дебага
[peap] processing EAP-TLS
[peap] eaptls_verify returned 7
[peap] Done initial handshake
[peap] eaptls_process returned 7
[peap] EAPTLS_OK
[peap] Session established. Decoding tunneled attributes.
[peap] Peap state send tlv failure
[peap] Received EAP-TLV response.
[peap] The users session was previously rejected: returning reject (again.)
[peap] *** This means you need to read the PREVIOUS messages in the debug output
[peap] *** to find out the reason why the user was rejected.
[peap] *** Look for «reject» or «fail». Those earlier messages will tell you.
[peap] *** what went wrong, and how to fix the problem.
[eap] Handler failed in EAP/peap
[eap] Failed in EAP select
++[eap] returns invalid
Failed to authenticate the user.
Using Post-Auth-Type Reject
# Executing group from file /etc/freeradius/sites-enabled/default
+- entering group REJECT {...}
[attr_filter.access_reject] expand: %{User-Name} -> m0ps
attr_filter: Matched entry DEFAULT at line 11
++[attr_filter.access_reject] returns updated
Delaying reject of request 15 for 1 seconds
Going to the next request
Waking up in 0.9 seconds.
Sending delayed reject for request 15
Sending Access-Reject of id 113 to 192.168.100.210 port 1062
EAP-Message = 0x04d10004
Message-Authenticator = 0x00000000000000000000000000000000
Waking up in 3.5 seconds.


Никто не сталкивался?
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории