Questions tagged «radius»

5
在Ubuntu上为WPA2设置RADIUS + LDAP
我正在为150个用户建立无线网络。简而言之,我正在寻找设置RADIUS服务器以针对LDAP验证WPA2的指南。在Ubuntu上。 我有一个可用的LDAP,但是由于它尚未投入生产,因此可以很容易地适应该项目可能需要的任何更改。 我一直在研究FreeRADIUS,但是任何RADIUS服务器都可以。 我们为WiFi提供了一个单独的物理网络,因此在这方面不必过多担心安全性。 我们的AP是HP的低端企业产品-它们似乎支持您能想到的一切。 所有Ubuntu服务器,宝贝! 和坏消息: 现在,我的知识不足,最终将接管我的工作,因此设置必须尽可能“平凡”。 到目前为止,我们的设置仅基于Ubuntu存储库中的软件,但我们的LDAP管理Web应用程序和一些小的特殊脚本除外。因此,没有“获取软件包X,untar,。/ configure”的东西是可以避免的。 更新2009-08-18: 虽然我发现了一些有用的资源,但仍然存在一个严重的障碍: Ignoring EAP-Type/tls because we do not have OpenSSL support. Ignoring EAP-Type/ttls because we do not have OpenSSL support. Ignoring EAP-Type/peap because we do not have OpenSSL support. 基本上,Ubuntu版本的FreeRADIUS不支持SSL(错误183840),这使所有安全的EAP类型无效。笨蛋 但是对任何感兴趣的人都有一些有用的文档: http://vuksan.com/linux/dot1x/802-1x-LDAP.html http://tldp.org/HOWTO/html_single/8021X-HOWTO/#confradius 更新2009-08-19: 我昨天晚上结束了自己的FreeRADIUS软件包的编译-http: //www.linuxinsight.com/building-debian-freeradius-package-with-eap-tls-ttls-peap-support.html上有一个非常好的食谱(请参阅有关帖子的评论以获取更新的说明)。 我从http://CACert.org获得了证书(如果可能,您可能应该获得“真实的”证书) 然后,我按照http://vuksan.com/linux/dot1x/802-1x-LDAP.html上的说明进行操作。这链接到http://tldp.org/HOWTO/html_single/8021X-HOWTO/,如果您想知道WiFi安全性如何工作,这是非常值得阅读的内容。 更新2009-08-27: 遵循上述指南后,我设法使FreeRADIUS与LDAP通讯: …
16 ubuntu  openldap  radius  wpa 

7
为什么要使用EAP-TTLS代替PEAP?
据我了解,在无线网络中实施时,EAP-TTLS和PEAP具有相同的安全级别。两者都仅通过证书提供服务器端身份验证。 EAP-TTLS的缺点可能是Microsoft Windows中的非本机支持,因此每个用户都必须安装其他软件。 EAP-TTLS的好处是可以支持不太安全的身份验证机制(PAP,CHAP,MS-CHAP),但是为什么在现代且适当安全的无线系统中需要它们? 您对此有何看法?为什么我应该实施EAP-TTLS而不是PEAP?假设我有大多数Windows用户,中型Linux用户以及最少的iOS,OSX用户。
11 security  wifi  radius  peap 

2
初学者质疑RADIUS和WiFi身份验证的工作方式
我是南非一所高中的网络管理员,在Microsoft网络上运行。校园周围大约有150台PC,其中至少130台连接到网络。其余为员工笔记本电脑。所有IP地址都是使用DHCP服务器分配的。 目前,我们的Wi-Fi接入仅限于这些员工所在的几个位置。我们使用的WPA带有长密钥,该密钥对学生不可用。据我所知,此密钥是安全的。 但是,使用RADIUS身份验证会更有意义,但是我对它如何在实践中存在一些疑问。 添加到域的计算机会自动向wi-fi网络进行身份验证吗?还是基于用户的?两者都可以吗? 如果PSP / iPod touch / Blackberry / etc /等设备使用RADIUS身份验证,是否可以连接到WiFi网络?我希望发生这种情况。 我有支持RADIUS身份验证的WAP。我只需要从MS 2003 Server打开RADIUS功能即可。 考虑到移动设备的需求,使用强制门户会更好吗?我从机场的经验中知道可以做到的(如果设备具有浏览器)。 这使我对有关强制门户网站的问题产生疑问: 我可以将强制门户限制为仅连接Wi-Fi的设备吗?我并不是特别想为所有现有网络机器设置MAC地址异常(据我了解,这只是增加了MAC地址欺骗的机会)。 怎么做?WiFi接入设备是否具有单独的地址范围,然后强制门户在两个网络之间路由?必须强调的是,WAP与其他不属于强制性的机器共享一个物理网络。 您的经验和见识将不胜感激! 菲利普 编辑:为了更清楚地了解强制门户是否可行,我提出了这个问题。

2
智能卡身份验证到Cisco交换机?
我们已将Cisco网络设备配置为通过运行在具有网络保护角色的Windows 2008R2服务器上的RADIUS,使用其域帐户通过网络管理员对网络管理员进行身份验证。在配置设备时,这非常适合通过SSH登录到交换机。 我们现在处于部署智能卡进行登录的开始阶段。有谁知道使用智能卡而不是域用户名和密码登录Cisco交换机的方法? 我们正在使用的SSH客户端是Putty。工作站是Windows7。RADIUS在Windows 2008R2上运行。我们正在Windows 2008上运行我们自己的证书颁发机构;网络未连接到Internet。 我们希望不必为此功能购买其他专有设备。

1
如何获得可以使用我的Google Apps域凭据进行身份验证的Radius服务器?
我们确实有一个Google Apps域,并且我们希望配置Radius服务器,以允许人们使用他们的公司凭据(Google Apps)登录到我们的公司WiFi或VPN。 为了使问题更加复杂,我们已经为Google帐户启用了2FA。不过,如果这将成为一个障碍,我们可以要求人们为此目的使用应用程序密码,以避免2FA问题。 到目前为止,我尝试使用https://github.com/layeh/google-apps-radius,它确实通过了,radtest但无法与我们的UniFi AP一起使用。当我与供应商联系以获取详细信息时,我正在寻找替代方案,以防Radius服务器无法正常工作。我们也在考虑托管解决方案。
8 g-suite  radius 

4
无线AAA,适用于带宽有限的小型酒店
我们(我和我本人一起工作的技术)生活在偏远的北部城镇,那里的互联网访问有些奢侈,带宽非常有限。在这里,超额收费从每月几百美元到几千美元不等。我本人仅通过自己在家中的常规互联网使用就承担每月的定期费用(允许10G的价格为60CAD!) 作为我工作的一部分,我发现自己参与了几家对此感到满意的酒店。我知道我可以提出一些解决该问题的方法,但是我对系统管理还比较陌生,我不希望自己的梦想克服现实。 因此,我将这些想法传递给您,他们的经验比我多得多,希望您能分享一些想法和疑虑。 该系统必须具有成本效益,是的,这里的收费很高,但是对技术的信任是我见过的最低的。 必须能够帮助客户减少使用量(鱿鱼) 允许有限数量(吞吐量和总使用量)的免费Internet,因为这通常是特许经营政策。 允许用户跟踪其带宽使用情况 允许(可选)更高的速度和/或使用,需要额外付费。可以在结帐时在前台获得这笔费用,并且不需要使用PayPal或信用卡。 不幸的是,某些特许经营具有荒谬的政策,要求使用 第三方远程服务来验证网络中的访客身份。这意味着WPA已用完,也意味着我在使用Internet之前不进行身份验证,这将是他们的工作。但是,如果酒店没有此政策,我确实要求ABILITY对Internet访问执行身份验证。我仍将必须跟踪带宽(默认情况下使用来宾帐户),并提供相同的限制,但是就来宾而言,来宾通常需要完整的“无限”访问权限,而不是吞吐量。 为没有隔离,没有办公室和访客网络隔离的酒店提供防火墙功能(其中一些人在访客网络上运行他们的办公室,没有加密,只有一个简单的TOS即可使用!) 阻止来宾与其他来宾建立连接,但是要提供一种方法来允许这种情况发生。IE浏览器 每个来宾都连接到一个页面并允许另一个来宾,例如,这写了一个iptables规则(使用python-netfilter),并允许两个房间玩游戏。 我对如何实现这一点的想法。一个体面的盒子(我们现在称其为路由器),带有很多ram和3个NIC: 互联网 办公室 来宾(AP +室内以太网) 路由器防火墙规则 访客只能与路由器通信,通过路由器将其路由到需要去的地方,包括Internet服务。 如果没有现有的解决方案,则可以使用Office将Office桥接到Internet,否则,它仅适用于可通过网络访问的Web(webmin + python-webmin?)界面。 路由器软件: OpenVZ为我不真正信任的一些服务提供虚拟化。Squid,FreeRADIUS和Apache。访客可以直接访问的唯一服务是Apache。 Apache具有mod_wsgi和django,因为我可以使用django快速编写并且我的需求很低。它也可能具有FreeRADIUS mod,但是对此似乎有些警告。 防火墙规则是使用iptables在路由器上处理的。 Webmin(或定制的django应用)可以对员工可能需要访问的任何功能提供抽象控制。 Python,如果您还没有猜到它是我最喜欢的语言,那么我几乎会用它。 最后,这是否完成了,这是一个过于庞大的项目,不值得一个人承担吗,和/或是否缺少一些我可以让自己的生活更轻松的工具? 作为记录,我对Python相当满意,但是对许多其他语言不是很熟悉(我可以通过PHP苦苦挣扎,这是一个表面问题)。我也是Linux的狂热用户,对配置文件和命令行很满意。 感谢您的宝贵时间,我期待着您的回复。 编辑:我很抱歉,如果这不是某些人所期望的问答,那么我只是在寻找想法,并确保我不尝试做已完成的事情。我现在正在寻找pfSense作为我所需的可能起点。
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.