タグ付けされた質問 「radius」

最大150人のユーザー向けにワイヤレスネットワークをセットアップしています。要するに、LDAPに対してWPA2を認証するようにRADIUSサーバーを設定するためのガイドを探しています。Ubuntuで。 動作するLDAPを入手しましたが、実稼働では使用されていないため、このプロジェクトに必要な変更に非常に簡単に適合させることができます。 私はFreeRADIUSを見てきましたが、どんなRADIUSサーバーでも可能です。 WiFi専用の物理ネットワークを別に用意したので、その面のセキュリティについてあまり心配する必要はありません。 私たちのAPはHPのローエンドエンタープライズ向けのものです。あなたが考えうるものは何でもサポートしているようです。 すべてのUbuntuサーバー、ベイビー！ そして悪いニュース： 私は今や最終的に管理を引き継ぐよりも知識の乏しい誰かなので、セットアップは可能な限り「些細な」ものでなければなりません。 これまでのところ、LDAP管理Webアプリケーションといくつかの小さな特別なスクリプトを除き、Ubuntuリポジトリのソフトウェアのみに基づいてセットアップが行われています。したがって、回避可能な場合、「パッケージXのフェッチ、untar、。/ configure」-ものはありません。 更新2009-08-18： いくつかの有用なリソースを見つけましたが、重大な障害が1つあります。 Ignoring EAP-Type/tls because we do not have OpenSSL support. Ignoring EAP-Type/ttls because we do not have OpenSSL support. Ignoring EAP-Type/peap because we do not have OpenSSL support. 基本的に、FreeRADIUSのUbuntuバージョンはSSLをサポートしていません（バグ183840）。これにより、すべての安全なEAPタイプが役に立たなくなります。残念。 しかし、興味がある人のためのいくつかの有用なドキュメント： http://vuksan.com/linux/dot1x/802-1x-LDAP.html http://tldp.org/HOWTO/html_single/8021X-HOWTO/#confradius 更新2009-08-19： 昨日の夕方、私は自分のFreeRADIUSパッケージをコンパイルしました-http ://www.linuxinsight.com/building-debian-freeradius-package-with-eap-tls-ttls-peap-support.htmlに本当に良いレシピがあります（更新された手順については、投稿へのコメント）。 http://CACert.orgから証明書を取得しました（可能であれば、おそらく「実際の」証明書を取得する必要があります） その後、http：//vuksan.com/linux/dot1x/802-1x-LDAP.htmlの指示に従いました。これはhttp://tldp.org/HOWTO/html_single/8021X-HOWTO/にリンクしています。これは、WiFiセキュリティがどのように機能するかを知りたい場合に非常に有益です。 更新2009-08-27： 上記のガイドに従った後、FreeRADIUSがLDAPと通信できるようになりました。 …

16 ubuntu  openldap  radius  wpa 

私が理解したように、EAP-TTLSとPEAPは、ワイヤレスネットワークに実装された場合、同じレベルのセキュリティを共有します。どちらも証明書によるサーバー側認証のみを提供します。 EAP-TTLSの欠点は、Microsoft Windowsの非ネイティブサポートであるため、すべてのユーザーが追加のソフトウェアをインストールする必要があります。 EAP-TTLSの利点は、安全性の低い認証メカニズム（PAP、CHAP、MS-CHAP）をサポートできることですが、最新の適切に安全なワイヤレスシステムでそれらが必要な理由は何ですか？ あなたはどう思いますか？PEAPの代わりにEAP-TTLSを実装する必要があるのはなぜですか？ほとんどのWindowsユーザー、中程度のLinuxユーザー、そして最も少ないiOS、OSXユーザーがいるとしましょう。

11 security  wifi  radius  peap 

私は、南アフリカの高校のネットワーク管理者であり、Microsoftネットワークで実行しています。キャンパス内には約150台のPCがあり、そのうち少なくとも130台がネットワークに接続されています。残りはスタッフのラップトップです。すべてのIPアドレスは、DHCPサーバーを使用して割り当てられます。 現在、Wi-Fiアクセスは、これらのスタッフがいるいくつかの場所に限定されています。学生が利用できない長いキーを持つWPAを使用しています。私の知る限り、このキーは安全です。 ただし、RADIUS認証を使用する方が理にかなっていますが、実際にどのように機能するかについていくつか質問があります。 ドメインに追加されたマシンは、wi-fiネットワークに対して自動的に認証されますか？それともユーザーベースですか？両方でもいいですか？ PSP / iPod touch / Blackberry /などのデバイスは、RADIUS認証を使用している場合、WiFiネットワークに接続できますか？私はこれが起こることを望みます。 RADIUS認証をサポートするWAPがあります。MS 2003サーバーからRADIUS機能をオンにするだけです。 モバイルデバイスの要件を考えると、キャプティブポータルを使用する方が良いでしょうか？空港での経験から、それができることを知っています（デバイスにブラウザがあれば）。 これにより、キャプティブポータルに関する質問が表示されます。 キャプティブポータルをWi-Fi接続デバイスのみに制限できますか？既存のすべてのネットワークマシンにMACアドレスの例外を設定する必要は特にありません（私の理解では、MACアドレスのなりすましの機会が増えるだけです）。 これはどのように行われますか？WiFiアクセスデバイス用に個別のアドレス範囲があり、2つのネットワーク間でキャプティブポータルがルーティングされますか？WAPは、キャプティブポータル化されない他のマシンと物理ネットワークを共有することを強調することが重要です。 あなたの経験と洞察に感謝します！ フィリップ 編集：キャプティブポータルが実現可能かどうかをもう少し明確にするために、この質問をしました。

11 wifi  radius  captive-portal 

ネットワーク保護の役割を持つWindows 2008R2サーバーで実行されているRADIUS経由でドメインアカウントを使用してネットワーク管理者を認証するように設定されたシスコのネットワークデバイスがあります。これは、デバイスの設定時にSSH経由でスイッチにログインするのに最適です。 現在、ログイン用のスマートカードの展開の初期段階にあります。ドメインのユーザー名とパスワードの代わりにスマートカードを使用してCiscoスイッチにログインする方法を知っている人はいますか？ 使用しているSSHクライアントはPuttyです。ワークステーションはWindows 7です。RADIUSはWindows 2008R2で実行されています。Windows 2008で独自の認証局を実行しています。ネットワークがインターネットに接続されていません。 この機能のために追加の専用デバイスを購入する必要はありません。

9 cisco  radius  smartcard  pki 

Google Appsドメインがあり、企業の資格情報（Google Apps）を使用して企業のWiFiまたはVPNにログインできるように、Radiusサーバーを構成したいと考えています。 問題をさらに複雑にするために、Googleアカウントで2FAを有効にしています。それでも、それがブロッカーである場合、2FAの問題を回避するために、この目的のためにアプリケーションパスワードを使用するように人々に依頼することができます。 これまでのところ、https：//github.com/layeh/google-apps-radiusを使用しようとしましたが、合格しましたradtestが、UniFi APとの連携に失敗しました。詳細についてベンダーに問い合わせましたが、このRadiusサーバーが実際に機能しない場合に備えて代替案を探しています。ホスト型ソリューションも検討しています。

8 g-suite  radius 

私たち（私と一緒に仕事をしている技術）は、インターネットアクセスが多少贅沢であり、帯域幅が非常に限られている遠隔の北部の町に住んでいます。ここでは、月に数百ドルから数千ドルの範囲の超過料金は珍しくありません。私自身、自宅での通常のインターネット使用だけで月額料金が発生します（60Gドルで10Gが許可されています！） 私の仕事の一部として、私はこれを感じているいくつかのホテルに関わることに気づきました。私はこの問題を解決するために何かを考え出すことができることを知っていますが、私はシステム管理に比較的慣れていないので、私の夢が現実を乗り越えてほしくありません。 ですから、私はこれらのアイデアを、私よりもはるかに多くの経験を積んでいる皆さんに伝えます。皆さんの考えや懸念を共有していただければ幸いです。 このシステムは費用対効果が高いはずです。そうです、料金はここで高くなりますが、技術への信頼は私が今まで見た中で最も低いものです。 クライアントが使用量を削減できるようにする必要がある（イカ） これは多くの場合フランチャイズポリシーであるため、限られた（スループットと合計使用量）の無料インターネットを許可します。 ユーザーが帯域幅の使用状況を追跡できるようにする 追加料金で（オプションの）高速化および/または使用を許可します。この料金はチェックアウト時にフロントデスクで取得でき、PayPalやクレジットカードの使用は必要ありません。 残念ながら、一部のフランチャイズにはばかげたポリシーがあり、 ネットワークへのゲストを認証するためにサードパーティのリモートサービスを使用する必要があります。これは、WPAが停止していることを意味し、インターネット使用の前に認証を行わないことも意味します。ただし、ホテルにこのポリシーがない場合は、インターネットアクセスの認証を実行する必要があります。帯域幅（デフォルトではゲストアカウントの下）を追跡し、同じ制限を提供する必要がありますが、ゲストはスループットではなく、存在という観点から、完全な「無制限」アクセスを必要とすることがよくあります。 何もないホテル、オフィス、およびゲストネットワークの分離を備えたホテルにファイアウォール機能を提供します（これらの何人かは、暗号化せずに、簡単なTOSを利用して、ゲストネットワークでオフィスを運営しています！） ゲストが他のゲストに接続できないようにしますが、これを可能にする手段を提供します。IE。各ゲストはページに接続し、他のゲストを許可します。これにより、iptablesルール（python-netfilterを使用）が書き込まれ、2つの部屋でゲームをプレイできます。 これを実装する方法についての私の考え。多くのRAMと3つのNICを備えた適切なボックス（ここではルーターと呼びます）： インターネット オフィス ゲスト（AP + In Room Ethernet） ルーターのファイアウォールルール ゲストはルーターとのみ会話でき、インターネットサービスを含め、必要な場所にルーティングされます。 既存のソリューションが導入されていない場合、Officeを使用してOfficeをインターネットにブリッジできます。それ以外の場合は、ネットワークアクセス可能なWeb（webmin + python-webmin？）インターフェイスで機能します。 ルーターソフトウェア： OpenVZは、私が本当に信頼していないいくつかのサービスに仮想化を提供します。Squid、FreeRADIUS、Apache。ゲストが直接アクセスできる唯一のサービスはApacheです。 Apacheはmod_wsgiとdjangoを持っています。なぜなら、私はdjangoを使って素早く書くことができ、私のニーズは低いからです。FreeRADIUS modも含まれている可能性がありますが、これにはいくつかの注意点があるようです。 ファイアウォールルールはiptablesを使用してルーターで処理されます。 Webmin（または多分カスタムdjangoアプリ）は、スタッフがアクセスする必要のある機能を抽象化して制御します。 Python、あなたが推測していないなら、それが私が最も快適だと思う言語であり、私はほとんどすべてにそれを使用しています。 そして最後に、これは行われましたか、それは一人の男にとっては取るに値しない過度に大規模なプロジェクトですか？ ちなみに、私はPythonにはかなり慣れていますが、他の多くの言語にはあまり詳しくありません（PHPに苦労することもありますが、表面的な問題です）。私は熱心なLinuxユーザーでもあり、設定ファイルとコマンドラインに慣れています。 お時間を割いていただき、ありがとうございます。 編集：これが一部の人が期待していた意味でのQ＆Aでない場合は、申し訳ありません。アイデアを探しているだけで、行われたことを行わないようにしています。私は今、pfSenseを、私が必要とするものの可能性のあるスタートとして見ています。

8 router  internet  radius  pfsense  bandwidth-control