Hoj,
mám tu jednu věc, ke které scháním informace jak to nejlépe udělat. 3x RB433 jako WiFi AP pro klienty, linuxý RADIUS a databáze uživatelů na novell serveru (LDAP). Jednoduše řečeno potřebuju uživatele, kteří se chtějí připojit do wifi sítě, ověřit v LDAP databázi (jménem a heslem). Jen doplním, že databáze uživatelů se mění zhruba jednou/dvakrát do roka.
Má představa:
Na mikrotikách spustím HotSpot s ověřením na RADIUS server (linux) a ten si sáhne do username a heslo do novellu.
Mé otázky:
1. myslíte, že je tento způsob vhodný, nebo byste mi poradily jiné řešení?
2. HotSpot s uživateli přímo v mikrotiku jsem dělal, nebude problém přimět mikrotik sahat si na RADIUS?
Moc děkuji za příspěvky.
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Hotspot, ověření přes Radius -> LDAP
To je v rámci firmy a pro zaměstnance nebo nějaký podobný případ? Pak bych v tom vynechal ten hotspot, to spíše po čase každého štve. HotSpot režim bych používal jen na návštěvníky.
Nahoď na wifinu WPA/WPA2 v EAP režimu a přímo připojení na wifinu ověřuj proti radiusu. Je otázka v jaké formě máš naházené hesla v té NDSce (Novela jsem už moc dlouho neviděl), jaké autorizační mechanismy budou možné, ale mělo by to být průchozí a hlavně to nemusí lidi při každém připojení mlátit jméno/heslo (pokud to vyloženě není jako požadavek, že to tak musí dělat), ale wifina si to vyřídí sama. Pokud by nebylo průchozí, aby v konfiguraci wifiny měli lidi nějaké jméno/heslo v noťasu trvale uloženo, tak jde použít režim, že k ověření wifiny se použije to, čím se aktuálně přihlásili k noťasu a je to bez uložení v registrech (to znamená mít v podstatě rozjetou doménu, počítače s wifinou členy domény a ten LDAP v NDS musí být schopen ověřit MS-CHAPv2).
Jiná možnost pak je použít k ověření certifikáty a něco ze skupiny TTLS ověření (pak k tomu tu NDSku ani nepotřebuješ, dokáže si vyřídit Freeradius sám ve své režii komplet).
Nahoď na wifinu WPA/WPA2 v EAP režimu a přímo připojení na wifinu ověřuj proti radiusu. Je otázka v jaké formě máš naházené hesla v té NDSce (Novela jsem už moc dlouho neviděl), jaké autorizační mechanismy budou možné, ale mělo by to být průchozí a hlavně to nemusí lidi při každém připojení mlátit jméno/heslo (pokud to vyloženě není jako požadavek, že to tak musí dělat), ale wifina si to vyřídí sama. Pokud by nebylo průchozí, aby v konfiguraci wifiny měli lidi nějaké jméno/heslo v noťasu trvale uloženo, tak jde použít režim, že k ověření wifiny se použije to, čím se aktuálně přihlásili k noťasu a je to bez uložení v registrech (to znamená mít v podstatě rozjetou doménu, počítače s wifinou členy domény a ten LDAP v NDS musí být schopen ověřit MS-CHAPv2).
Jiná možnost pak je použít k ověření certifikáty a něco ze skupiny TTLS ověření (pak k tomu tu NDSku ani nepotřebuješ, dokáže si vyřídit Freeradius sám ve své režii komplet).
0 x
Je to situačně škola. Žáci uvedení v databázi mohou na wifi. Tudíš uživatelé nejsou v doméně ničem takovém, připojovat se budou domácími notesy, apod.
"V tomto případě - Nahoď na wifinu WPA/WPA2 v EAP režimu a přímo připojení na wifinu ověřuj proti radiusu". -jak probíhá tento proces ověření ? při připojení k WiFi zadavám jméno a heslo ?
Bohužel v tomto případě nelze využít domény a ověření proti AD.
"V tomto případě - Nahoď na wifinu WPA/WPA2 v EAP režimu a přímo připojení na wifinu ověřuj proti radiusu". -jak probíhá tento proces ověření ? při připojení k WiFi zadavám jméno a heslo ?
Bohužel v tomto případě nelze využít domény a ověření proti AD.
0 x
Ještě mě teď napadlo využít user-manager jakožto samotný RADIUS. Jen nevím jestli by si přímo on uměl sahat přímo do té databáze. Případně docílit exportu databáze z novellu a dostat jí do user-managementu a poté jí scriptem jednou za čas updatovat.
0 x
Ihned při asociaci k wifině vyběhne dialog pro jméno/heslo, uživatel ho tam nabouchá a je puštěn, pokud radius odsouhlasí. To zařídí přímo wifi klient v notebooku. V MS windows to dělá komponenta mající na starost 802.1x, stačí jen zaškrtnout v konfiguraci daného wiif připojení, že se to tak má dělat. Jde to použít i pro přístup k Ethernetu, pokud switch podporuje 802.1x, když se připíchne kabelem, taktéž na něj vyskočí žádost jméno/heslo a bez toho ho switch nepustí nebo přepojí na nějakou vyhrazenou guest vlanu (a když se připojí úspěšně, tak ho to může strkat do různých vlan na základě dat z radiusu pro uživatele, kantory, pana inspektora, ...). U některých klientů/OS/mobilů jde to jméno zadat natvrdo, ať si to pamatuje a používá pak automaticky, základní wifi implementace ve Windows chce znova zadat při každém připojení.
Varianta s ověřeném v doméně je pro případ, kdy se to má ověřit potichu bez zásahu uživatele. Pokud je to ve wifi konfiguraci ve Woknech povoleno, tak se automaticky zkusí přihlásit doménovým přihlášením aktuálního uživatele, ale toto vzhledem k tvé situaci nevyužiješ (noťasy študáků nejsou členy tvé domény).
Pokud jsi škola, možná jsi viděl/slyšel o eduroam a tam se přesně toto používá s možností využívat připojení na různých školách pro studenty/učitele.
Pokud to chceš študákům ulehčit, že nemají heslo/jméno bouchat, tak jim můžeš rozdat certifikáty a budou se ověřovat pomocí nich, když si je nainstalují do komplu a taktéž nemusí nic zadávat (a když budeš študákovi chtít zatrhnout přístup, tak jen certifikát daného člověka dáš na revokační seznam).
Samozřejmě to jde kombinovat, že když klient neumí 802.1x, tak ho to někam pustí, kde na něj bude čekat klasické web přihlášení přes hotspot, ale teď si nevybavuji, zda už APčko v ROSu toto podporuje.
Varianta s ověřeném v doméně je pro případ, kdy se to má ověřit potichu bez zásahu uživatele. Pokud je to ve wifi konfiguraci ve Woknech povoleno, tak se automaticky zkusí přihlásit doménovým přihlášením aktuálního uživatele, ale toto vzhledem k tvé situaci nevyužiješ (noťasy študáků nejsou členy tvé domény).
Pokud jsi škola, možná jsi viděl/slyšel o eduroam a tam se přesně toto používá s možností využívat připojení na různých školách pro studenty/učitele.
Pokud to chceš študákům ulehčit, že nemají heslo/jméno bouchat, tak jim můžeš rozdat certifikáty a budou se ověřovat pomocí nich, když si je nainstalují do komplu a taktéž nemusí nic zadávat (a když budeš študákovi chtít zatrhnout přístup, tak jen certifikát daného člověka dáš na revokační seznam).
Samozřejmě to jde kombinovat, že když klient neumí 802.1x, tak ho to někam pustí, kde na něj bude čekat klasické web přihlášení přes hotspot, ale teď si nevybavuji, zda už APčko v ROSu toto podporuje.
0 x
Díky za vyčerpávající odpověď. Chtěl bych to tedy zkusit tím uvedeným způsobem, tedy s tím že se na klientech povolí podpora 802.1X, jak a co se přesně nastavuje na ROSu? Jak jsem pochopil na WiFi kartě přímo zapnu EAP auth. nastavuje se to ještě v security profilu ? Co se týče radiusu, stačí jen nastavit jeho IP a secret key ?
Děkuji
Děkuji
0 x
Poptvám uvedenou kofiguraci jako placenou službu, kdyby měl někdo zájem:
http://webtrh.cz/144921-konfigurace-mirkotik
http://webtrh.cz/144921-konfigurace-mirkotik
0 x
Krucyš, výběrové řízení na 4 kliknutí myší? 
Na straně ROSu bych s tím problém neviděl. Stručně:
- nadefinvoat si radius server, povolit si v definici použití pro wireless.
- vytvořit security profil, v něm zvolit WPA EAP/WPA2 EAP. Na další zatím nešahat, potom si případně zapnout accounting, ať víš, kdo kdy kde.
- nahodit wifi APčko dle zvyklostí a jen mu přiřadit daný profil.
To je z pohledu ROSu vše, co je třeba udělat, aby jsi ověřoval dle RADIUSu a dál se do toho neplete a jen čeká na info od serveru accept/deny.
V RADIUS serveur je třeba definovat daný Mikrotik a pak napojení na ten LDAP v NDSce. Tam vidím možné problémy. Protože třeba klasický 802.1x klient ve Windows (apoň pro XP) od Mikrosoftu pro jméno/heslo umí jen PEAP režim s MS-CHAPv2. Což znamená, že v NDSce musíš mít hesla lidí uloženy buď nešifrovaně nebo tam musí být LM/NT hashe. Což netuším, zda dělá základní NDS schéma (nebo spíš dneska už eDirectory), záleží na co vše a jak je to použito (pokud třeba jako backend pro sambu s příslušným schema, tak tam jsou). Pokud by lidi měli něco jiného, než jen defualt windows 802.1x klienta, ten ty umí většinou použít kdejakou metodu (i když třeab LEAPu bych se dneska už vyhýbal).
Pokud budeš chcít mít lepší dohled na monitorování kdo co dělá, tak si můžeš zapnout i DHCP server v ROSu do režimu přidělování MAC adres z RADIUS serveur a pak máš v logu radiusu pěkně pohromadě kdo se ti přihlásil s jakou MAC adresou a jakým jménem a k tomu i jakou měl IP a co daná IP dělala si už předpokládám v proxy serveur a podobných také přiložíš.
Na straně ROSu bych s tím problém neviděl. Stručně:
- nadefinvoat si radius server, povolit si v definici použití pro wireless.
- vytvořit security profil, v něm zvolit WPA EAP/WPA2 EAP. Na další zatím nešahat, potom si případně zapnout accounting, ať víš, kdo kdy kde.
- nahodit wifi APčko dle zvyklostí a jen mu přiřadit daný profil.
To je z pohledu ROSu vše, co je třeba udělat, aby jsi ověřoval dle RADIUSu a dál se do toho neplete a jen čeká na info od serveru accept/deny.
V RADIUS serveur je třeba definovat daný Mikrotik a pak napojení na ten LDAP v NDSce. Tam vidím možné problémy. Protože třeba klasický 802.1x klient ve Windows (apoň pro XP) od Mikrosoftu pro jméno/heslo umí jen PEAP režim s MS-CHAPv2. Což znamená, že v NDSce musíš mít hesla lidí uloženy buď nešifrovaně nebo tam musí být LM/NT hashe. Což netuším, zda dělá základní NDS schéma (nebo spíš dneska už eDirectory), záleží na co vše a jak je to použito (pokud třeba jako backend pro sambu s příslušným schema, tak tam jsou). Pokud by lidi měli něco jiného, než jen defualt windows 802.1x klienta, ten ty umí většinou použít kdejakou metodu (i když třeab LEAPu bych se dneska už vyhýbal).
Pokud budeš chcít mít lepší dohled na monitorování kdo co dělá, tak si můžeš zapnout i DHCP server v ROSu do režimu přidělování MAC adres z RADIUS serveur a pak máš v logu radiusu pěkně pohromadě kdo se ti přihlásil s jakou MAC adresou a jakým jménem a k tomu i jakou měl IP a co daná IP dělala si už předpokládám v proxy serveur a podobných také přiložíš.
0 x