classic.ISPforum.cz

Ahojte

Prosím, poraďte mi. Rozhodujem sa spustiť na škole WiFi systém. Hotspot (webovú autentifikáciu) nechem kvôli nepraktickosti (nutnosť zadávať heslo cez web browser, možno aj každý deň). Vhodnou aleternatívou mi príde postaviť systém na 8021x EAP autentifikácii (menom a heslom) - bude tam asi 5ks AP a oproti tomu dať mikrotik s Radius serverom.

Moja otázka je: aká je kompatibilita 802.1x so systémami? Myslím hlavne Windows Xp, Vista, 7, 8 ... ďalej Androidy a iPhony. Viete o nejakých problémoch s týmto?

Vďaka za každý postreh!

Na takovem principu bezi Eduroam na VS, tak idealne poptat spravce site v nejblizsi skole - ten Ti poda asi nejrelevantnejsi informace primo z praxe...
Ja kdyz jsem chodil na OU, kde jsme meli eduroam,tak me to neskutecne sralo. Byly notebooky, kde to vsechno jelo jakztakz, ale byly zarizeni, kde sem se mohl po*rat a proste jsem to nerozjel. A myslim si ze jsem nebyl sam, jelikoz ke konci studia se vsude objevil druhy SSID (eduroam_simple) kde uz certifikaty a podobne kraviny nemusely byt (ale bylo to omezene jen na 80port) a prihlasovalo se pomoci uzivatelskeho jmena a hesla (stejneho jako do portalu) a tohle mi prislo uplne megasuper. Takze kdyz jsem nepotreboval RDP nebo VPN, vzdycky sem chodil pres ten simple.

Za me (jako uzivatele) bych rozhodne sel do prihlaseni pres username/heslo s platnosti treba 8hodin (proste 1 skolni den). Je to easy po vsech strankach (jak pro uzivatele, tak pro tebe jako admina) a mas klid. A vyhovis i veskere legislative...

Na princípe prihlasovania na čas, beži teraz wifi pokrytie of infoveku ale je prakticky nanič. Oni to nastavili na jednu hodinu. Stačí že mám jednu hodinu mimo dosahu routra už sa musím prihlasovať znovu. Toto práveže nechcem ... A najväčšia blbosť je, že musím otvoriť browser, naťukať adresu (samozrejme nie napr. google.sk, lebo beži na HTTPS a ten sa nepresmeruje) a potom zadávať meno a heslo. Akože keď som na mobile, tak to je odporné.

Ku 802.1x: primárne som rozmýšľal, že by som tam žiadne certifikáty nedal. Jednoducho iba meno a heslo. A rozsah otvorených portov .... hmm, to by som riešil až potom. Ide o to, že žiak to zadá raz do mobilu, notebooku a viac to nerieši. Príde ráno do školy, už je autentifikovaný. A v prípade potreby viem konkrétneho žiaka blokovať bez problémov.

tak staci nastavit na 6h+ a je to... Jinak pokud si dobre pamatuju, tak nektere hotspoty po pripojeni samy otevrou browser s prihlasovaci strankou, aniz by cokoliv user delal. Nicmene nevim jak je toto reseno.

Ja co viem, tak Windows vypise v liste Start hlasku: Moze sa vyzadovat dalsie prihlasenie. Androidy niekedy (nie vzdy) vyhodia notifikaciu: Prihlasit sa do siete XY. Ale o auto otvoreni browsera neviem...

802.1x používáme spokojeně už roky a základ spokojenosti je v tom, používat ho jen se zařízeníma, které mám pod kontrolou a vybral jsem si je a otestoval....
Zvláště u mobilů je to tragédie. Tam to OK funguje snad jen na starých Nokiích se Symbianem a na nových Blackberry, což nejsou typické studentské krámy. Na Androidu to jede snad konečně korektně až od verze 4, což není ještě zdaleka tak častá verze.
Takže řeším tím, že jako APčka používám RBčka a využívám možnosti míc víc WPA2 klíčů na jedno SSID, každý uživatel má svůj osobní WPA2 klíč, který mám namlácen v RADIUS serveru (FreeRadius) a přiřazen k registrovaným MAC adresám jeho soukromejch placek. Firemní krámy používají jiné SSID, kde se jede klasické 802.1x s PEAP pro Windows klienty a TTLS pro linuxy, tiskárny a podobné (stejně tak i na metalickém ethernetu).
A pro opravdové jednorázovky je třetí SSID s klasickým hotspotem a web přihlášením (tam jsou posláni i ti, co neuspějou s 802.1x na ethernetu)...

Mám zkušenosti jak s vlastním používáním Eduroam dříve na VŠ, tak s asi 3 ročním provozem 802.1x (FreeRadius) a mikrotik AP na jedné střední škole.

Moje zkušenost je taková, že jediný problém je s Windows, kde je nastavení pro 802.1x skutečně složité, a velmi výjimečně jsou u některých notebooků doprasené drivery wifi adaptéru tak, že to moc nefunguje.

Na Eduroamu se to často řeší autokonfiguračním skriptem, který si stáhnete přes wifi s web autentizací nebo na jiném počítači - např. http://support.zcu.cz/index.php/P%C5%99 ... ro_Windows

Na té SŠ jsme udělali jen návod pro Win7 a XP, který má asi 9 kroků, a nakonec s tím nikdo nemá zásadní problém. Je to teda konfigurace s vypnutým ověřováním certifikátu, čímž se to trochu zjednoduší a uživatel nemusí jinou cestou shánět ten certifikát. Nevýhoda je, že by někdo mohl udělat fake AP a krást hesla, takže máme aspoň samostatné "wifi heslo", které musí být jiné než heslo pro ostatní systémy.

Jinak na Apple není s konfigurací naprosto žádný problém, stačí login+heslo, ostatní funguje samo. Androidy jsme testovali a lidi používají všelijaké - od 2.2 k nejnovějším, a nikdy nebyl problém. Akorát jeden typ telefonu měl kdysi proti MK problém, že prostě nefungoval s WPA2, tak se udělalo ještě extra SSID s WPA1.

Důležitá je taky konfigurace radiusu - optimálně aby podporoval různé autentizační algoritmy (TTLS, PAP, MSCHAP), protože různí klienti mohou mít s některými potíže.

Závěr je, že pokud ten internet používat chtějí, tak si to nastavit dokážou aniž by s tím někdo aktivně pomáhal nad rámec návodu a jejich pomoci mezi sebou. Za ty 3 roky se nenašel nikdo, kdo by to nakonec nezprovoznil. Asi trochu záleží na zdatnosti uživatelů, tohle je zkušenost z technické SŠ. Snad kromě Amazon Kindle, který prostě 802.1x nepodporoval (a možná pořád nepodporuje).