Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
Каталог
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Страницы: 1
RSS
Unifi + Freeradius, UniFi Network
 
Мне нужно реализовать аутентификацию WPA2-Enterprise с помощью FreeRADIUS. У меня есть база данных в MySQL с пользователями, а аутентификация происходит на основе MAC-адреса (Calling-Station-Id). К сожалению, в запросе Access-Request отсутствует аргумент "User-Password".  
User-Name = "host/KLI.local"  
NAS-Port = 0  
Called-Station-Id = "01-23-21-5F-A7-91:test2"  
Calling-Station-Id = "0D-25-D7-F2-BA-FA"  
Framed-MTU = 1400  
NAS-Port-Type = Wireless-802.11  
Connect-Info = "CONNECT 0Mbps 802.11"  
EAP-Message = 0x02b700234686f73742f4b8c492d4d50414f4b4955749435a2e5492e6c6­93616c  
Message-Authenticator = 0xc2dafcf7ffff6e4de331ddbdfd1e0  

Часть с SQL настроена правильно, но нет атрибутов CHAP-Password или User-Password, и из-за этого невозможно войти в сеть. Как можно решить эту проблему?
 
Просто хочу уточнить, UBNT APs такого не делают, да? http://documentation.netgear.com/wg302v2/enu/202-10146-02/WG302v2_RM-04-14.html
 
Было бы здорово, если бы аутентификация выполнялась по каждому хосту, а не по каждому порту хоста. http://kb.netgear.com/app/answers/detail/a_id/21805 Думаю, это хорошо работает с точками доступа, у которых один SSID и одна VLAN, но не с точками доступа с несколькими SSID и несколькими VLAN.
 
Я не делал это на TP-Link, а на SRX220. Планирую изучить коммутаторы и роутеры Draytek, похоже, они это умеют и стоят недорого. Иногда сложно уговорить небольшие компании раскошелиться на Juniper. R+C
 
Интересно... Я выбрал Netgear GS724T, а стоило взять TP-Link. Вот тебе и попытка перестраховаться на счет пожизненной гарантии. Обновление: На самом деле, почитав инструкцию TP-Link, выяснилось, что у них те же ограничения, что и у Netgear — аутентификация происходит на уровне порта, то есть если один пользователь прошёл проверку, автоматически проходят все остальные. Мне кажется, это не делается на уровне каждого пользователя отдельно.

Похоже, мне стоит ещё разобраться с Netgear, потому что там по сути то же самое, что и у TP-Link. Если у тебя получилось настроить TP-Link, то и Netgear должен работать. Хотя, кажется, это решение подходит только для ограниченного доступа и работы только с интернетом.

Что касается точки доступа, у неё может быть до четырёх SSID, и если каждый из них связан с отдельным VLAN, то я не уверен, как будет работать управление через этот коммутатор.
 
Процедура, к которой я в итоге пришёл на одном объекте с нормальным коммутатором и роутером, заключалась в контроле доступа на уровне коммутатора (на точке доступа я ничего не делал). Любое устройство, которое не прошло аутентификацию, помещалось в изолированный PVLAN (может общаться только с портом, выходящим в интернет, не видит другие VLAN или локальную сеть, не видит другие устройства). Я быстро пробежался по коммутаторам TP-Link (дешево и сердито) и, похоже, на них можно сделать то же самое вручную — см. вверху страницы 52R+C.
 
Спасибо за PDF. Я не пользуюсь Windows, но посмотрю его для ориентира. Вкратце: всё, что мне нужно — чтобы устройство попало в нужный VLAN. Я не хочу использовать MAC или IP-адреса, потому что их довольно легко подделать. Также не хочу управлять сертификатами на устройствах. Поэтому у меня остаётся несколько вариантов, из которых либо UBNT (не помечает пакеты с VLAN id, настроенным для SSID), либо FreeRadius (см. ниже) ставят ограничения, и сейчас я на третьем обходном пути, чтобы достичь своей цели. Варианты, которые я пытаюсь реализовать: заставить FreeRadius отклонять устройство, если SSID, переданный в Called-Station-Id, не связан с пользователем в MySQL; заставить FreeRadius отклонять устройство, если VLAN id не связан с пользователем в MySQL.
 
У тебя есть нужная книга, чтобы понять, в чем у тебя проблема, так что, уверен, ты разберёшься. Здесь больше полезной информации. R+C
 
2.4.4.2061 Мне кажется, дело в типе, потому что пароль в формате MD5, и это ограничивает, какие протоколы аутентификации можно использовать: http://deployingradius.com/documents/protocols/compatibility.html
 
Судя по вики, похоже, что снова приходится возиться — какую прошивку ты используешь? R+C
 
Тебе удалось это запустить? У меня та же самая проблема.
Страницы: 1
Читают тему (гостей: 1)