初学者质疑RADIUS和WiFi身份验证的工作方式

我是南非一所高中的网络管理员，在Microsoft网络上运行。校园周围大约有150台PC，其中至少130台连接到网络。其余为员工笔记本电脑。所有IP地址都是使用DHCP服务器分配的。

目前，我们的Wi-Fi接入仅限于这些员工所在的几个位置。我们使用的WPA带有长密钥，该密钥对学生不可用。据我所知，此密钥是安全的。

但是，使用RADIUS身份验证会更有意义，但是我对它如何在实践中存在一些疑问。

1. 添加到域的计算机会自动向wi-fi网络进行身份验证吗？还是基于用户的？两者都可以吗？
2. 如果PSP / iPod touch / Blackberry / etc /等设备使用RADIUS身份验证，是否可以连接到WiFi网络？我希望发生这种情况。

我有支持RADIUS身份验证的WAP。我只需要从MS 2003 Server打开RADIUS功能即可。

考虑到移动设备的需求，使用强制门户会更好吗？我从机场的经验中知道可以做到的（如果设备具有浏览器）。

这使我对有关强制门户网站的问题产生疑问：

1. 我可以将强制门户限制为仅连接Wi-Fi的设备吗？我并不是特别想为所有现有网络机器设置MAC地址异常（据我了解，这只是增加了MAC地址欺骗的机会）。
2. 怎么做？WiFi接入设备是否具有单独的地址范围，然后强制门户在两个网络之间路由？必须强调的是，WAP与其他不属于强制性的机器共享一个物理网络。

您的经验和见识将不胜感激！

菲利普

编辑：为了更清楚地了解强制门户是否可行，我提出了这个问题。

Wifi的用户身份验证使用802.1x协议。
要连接设备，需要WPA请求方，例如SecureW2。
根据您使用的请求方，您将可以或不可以通过Windows域登录名/密码使用SSO。
iPhone和iPod touch内置了WPA请求者。我不了解PSP / BB。SecureW2具有Windows Mobile版本。

我确信您可以仅为WiFi启用强制门户，而不必创建IP网络。您只需要将无线访问放在一个VLAN中，然后将有线访问放在另一个VLAN中，然后在两个VLAN之间放置门户即可。这就像透明的防火墙。

802.1x需要计算机上有请求者。如果知道需要使用Wifi的计算机，您只需在其上设置请求方即可，这是一个很好的解决方案。如果您想让访客访问无线访问或诸如此类的事情，那将是一场噩梦，因为他们需要请求方等。

强制门户的安全性较差，每次连接时都需要用户手动进行身份验证。这可能有点无聊。

从我的角度来看，一个好的解决方案就是同时兼顾两者。802.1x访问使您获得与有线局域网相同的体验，而强制性门户则使您能够访问更少的内容（访问Internet端口80，访问本地局域网的权限有限，...）

我有一点WIFI经验-已经完成了许多校园部署：拉斯维加斯市，密歇根大学，各种酒店和公寓大楼。

您的客户不会直接与RADIUS服务器对话。具有802.1x功能的AP（接入点）代表客户端执行此操作。实际上，您不需要RADIUS即可支持802.1x实现。

1.是否可以将强制门户限制为仅连接Wi-Fi的设备？我并不是特别想为所有现有网络机器设置MAC地址异常（据我了解，这只是增加了MAC地址欺骗的机会）。

MAC欺骗只能在客户端关联之后进行。因此，您不必担心，因为没有关联就无法欺骗WIFI网络。您可以通过WPA或WPA2和其他控制关联...

2.怎么做？WiFi接入设备是否具有单独的地址范围，然后强制门户在两个网络之间路由？必须强调的是，WAP与其他不属于强制性的机器共享一个物理网络。

您可以做到，但是我不确定您希望实现什么？为什么您觉得需要将WIFI接入与有线客户端隔离？注意：VLAN不是安全措施！！！

您的解决方案取决于您拥有的AP类型以及它们是否支持WPA2。假设他们这样做了，那么您所遇到的两件事之一就是我要做的事情：

部署WPA-PSK并通过组策略和防火墙控制LAN访问。我还将子网划分为WIFI“区域”，并使用路由器ACL进行所需的任何内部过滤。这些天，NTLM非常安全。这将是我的第一种方法。如果出于某些原因您无法执行此操作，则说明您在原始帖子中的展开距离不够，无法说明原因...

然后，我的第二种方法将着眼于802.1x-如上所述，这似乎无法满足您的需求，但是当员工离开公司等时，这将简化管理工作。如果他们离开时打开笔记本电脑，则选择1 （WPA-PSK）似乎足够好。如果您提供PSK而不是自己提供，则首选此选项-我想。

即使最终用户以某种方式与外部用户共享PSK，您的LAN端点仍然可以通过NTLM，ACL和防火墙来保护...