Phi*_*lip 12 wifi radius captive-portal
我是南非一所高中的网络管理员,在 Microsoft 网络上运行。我们在校园周围有大约 150 台 PC,其中至少有 130 台连接到网络。其余的是员工笔记本电脑。所有 IP 地址均使用 DHCP 服务器分配。
目前,我们的 wi-fi 访问仅限于这些员工所在的几个地方。我们正在使用 WPA 的长密钥,该密钥对学生不可用。据我所知,这把钥匙是安全的。
然而,使用 RADIUS 身份验证更有意义,但我对它在实践中的工作方式有一些疑问。
我确实有支持 RADIUS 身份验证的 WAP。我只需要从 MS 2003 服务器打开 RADIUS 功能。
鉴于移动设备要求,使用强制门户会更好吗?我从机场的经验中知道可以做到(如果设备有浏览器)。
这让我想到了关于强制门户的问题:
您的经验和洞察力将不胜感激!
菲利普
编辑:为了更清楚地了解 Captive Portal 是否可行,我问了这个问题。
Wifi 的用户身份验证使用802.1x协议。
连接设备需要WPA 请求者,例如SecureW2
根据您使用的请求者,您将能够或不能够使用 Windows 域登录名/密码执行 SSO。
iPhone 和 iPod touch 内置了 WPA 请求器。我不知道PSP/BB。SecureW2 有一个 Windows Mobile 版本。
我确信您可以只为 WiFi 启用强制门户,而无需创建 IP 网络。您只需要将无线访问放在一个 vlan 中,将有线访问放在另一个 vlan 中,然后将门户放在两个 vlan 之间。这就像一个透明的防火墙。
802.1x 需要在计算机上有一个请求者。如果知道需要使用 Wifi 的计算机,您只需在它们上设置请求者,这是一个很好的解决方案。如果您想让访客或类似的东西访问您的无线访问权限,这可能是一场噩梦,因为他们需要请求者等。
强制门户的安全性稍差,每次连接时都需要用户手动进行身份验证。这可能有点无聊。
从我的角度来看,一个好的解决方案是两者兼而有之。一个 802.1x 访问让您如同连接在局域网上一样,以及一个强制门户让您访问更少的东西(访问互联网端口 80,对本地局域网的访问受限,......)
我有一点WIFI经验-做过很多校园部署:拉斯维加斯市,密歇根大学,各种酒店和公寓大楼......
您的客户端不直接与 RADIUS 服务器通信。支持 802.1x 的 AP(接入点)代表客户端执行此操作。事实上,您不需要 RADIUS 来支持 802.1x 实施。
1. 我可以将强制门户限制为仅限 Wi-Fi 连接的设备吗?我并不特别想为所有现有的网络机器设置 MAC 地址例外(在我的理解中,它只是增加了 MAC 地址欺骗的机会)。
MAC 欺骗只能在客户端关联后进行。因此,您在这里不必担心,因为首先不能在没有关联的情况下在 WIFI 网络上进行欺骗。您可以通过 WPA 或 WPA2 等控制关联...
2. 这是怎么做的?我是否有单独的 WiFi 接入设备地址范围,然后强制门户会在两个网络之间路由吗?需要强调的是,WAP 与其他不会被强制传送的机器共享一个物理网络。
你可以这样做,但我不确定你希望达到什么目标?为什么您觉得需要将 WIFI 访问与有线客户端隔离?注意:VLAN 不是安全措施!!!
您的解决方案取决于您拥有的 AP 类型以及它们是否支持 WPA2。假设他们这样做,我会做的是在您的情况下的两件事之一:
部署 WPA-PSK 并通过组策略和防火墙控制 LAN 访问。我还将对 WIFI“区域”进行子网划分,并使用路由器 ACL 进行您需要的任何内部过滤。现在 NTLM 非常安全。这将是我的第一个方法。如果您有不能这样做的原因,那么您在原始帖子中还没有详细说明原因...
然后,我的第二种方法将查看 802.1x - 如上所述,这对于您的需求来说似乎有些矫枉过正,但可以在员工离开公司等时减轻管理负担...如果他们在离开时交出笔记本电脑,则选项 1 (WPA-PSK) 似乎已经足够好了。如果您提供 PSK 而不是自己放入,那么首选此选项 - 我猜。
即使最终用户以某种方式与外界共享 PSK,您的 LAN 端点仍然通过 NTLM、ACL 和防火墙进行保护...
| 归档时间: |
|
| 查看次数: |
16006 次 |
| 最近记录: |