我正在为大约 150 个用户设置无线网络。简而言之,我正在寻找设置 RADIUS 服务器以针对 LDAP 对 WPA2 进行身份验证的指南。在 Ubuntu 上。
还有一个坏消息:
更新 2009-08-18:
虽然我找到了几个有用的资源,但有一个严重的障碍:
Ignoring EAP-Type/tls because we do not have OpenSSL support.
Ignoring EAP-Type/ttls because we do not have OpenSSL support.
Ignoring EAP-Type/peap because we do not have OpenSSL support.
基本上,FreeRADIUS 的 Ubuntu 版本不支持 SSL(错误 183840),这使得所有安全 EAP 类型都无用。无赖。 …
据我了解,在无线网络中实施时,EAP-TTLS 和 PEAP 具有相同的安全级别。两者都仅通过证书提供服务器端身份验证。
EAP-TTLS 的缺点可能是 Microsoft Windows 中的非本机支持,因此每个用户都必须安装其他软件。
EAP-TTLS 的好处是可以支持不太安全的身份验证机制(PAP、CHAP、MS-CHAP),但为什么在现代且安全的无线系统中需要它们?
你有什么意见?为什么我应该实施 EAP-TTLS 而不是 PEAP?假设我拥有最多的 Windows 用户、中等 Linux 用户和最少的 iOS、OSX 用户。
我是南非一所高中的网络管理员,在 Microsoft 网络上运行。我们在校园周围有大约 150 台 PC,其中至少有 130 台连接到网络。其余的是员工笔记本电脑。所有 IP 地址均使用 DHCP 服务器分配。
目前,我们的 wi-fi 访问仅限于这些员工所在的几个地方。我们正在使用 WPA 的长密钥,该密钥对学生不可用。据我所知,这把钥匙是安全的。
然而,使用 RADIUS 身份验证更有意义,但我对它在实践中的工作方式有一些疑问。
我确实有支持 RADIUS 身份验证的 WAP。我只需要从 MS 2003 服务器打开 RADIUS 功能。
鉴于移动设备要求,使用强制门户会更好吗?我从机场的经验中知道可以做到(如果设备有浏览器)。
这让我想到了关于强制门户的问题:
您的经验和洞察力将不胜感激!
菲利普
编辑:为了更清楚地了解 Captive Portal 是否可行,我问了这个问题。
我们将 Cisco 网络设备配置为使用他们的域帐户通过在 Windows 2008R2 服务器上运行的具有网络保护角色的 RADIUS 对网络管理员进行身份验证。这对于在配置设备时通过 SSH 登录交换机非常有用。
我们现在正处于为登录部署智能卡的开始阶段。有谁知道使用智能卡而不是域用户名和密码登录 Cisco 交换机的方法吗?
我们使用的 SSH 客户端是 Putty。工作站是 Windows 7。RADIUS 在 Windows 2008R2 上运行。我们在 Windows 2008 上运行我们自己的证书颁发机构;网络未连接到 Internet。
我们宁愿不必为此功能购买额外的专有设备。
我们(与我一起工作的技术人员和我自己)住在一个偏远的北部小镇,在那里互联网接入有点奢侈,而且带宽非常有限。在这里,每月从几百美元到几千美元不等的超额费用并不少见。我自己只是通过在家中定期使用互联网而产生每月定期费用(我可以花 60 加元获得 10G!)
作为我工作的一部分,我发现自己参与了几家感受到这种情况的酒店。我知道我可以想出一些办法来解决这个问题,但我对系统管理比较陌生,我不希望我的梦想战胜现实。
所以,我将这些想法传递给那些比我更有经验的人,希望你能分享一些你的想法和担忧。
这个系统必须具有成本效益,是的,这里收费很高,但对技术的信任是我见过的最低的。
我对如何实现这一点的想法。一个体面的盒子(我们现在称它为路由器)有很多内存和 3 个网卡:
路由器防火墙规则
路由器软件:
最后,这是否已经完成,这是一个不值得一个人承担的过于庞大的项目,和/或我缺少一些可以让我的生活更轻松的工具吗?
作为记录,我对 Python 相当好,但对许多其他语言不是很熟悉(我可以通过 PHP 挣扎,这是一个表面问题)。我也是一个狂热的 linux 用户,并且熟悉配置文件和命令行。
感谢您的时间,我期待着阅读您的回复。
编辑:如果这不是某些人所期望的问答,我很抱歉,我只是在寻找想法并确保我没有试图做已经完成的事情。我现在正在将 pfSense 作为我需要的可能的开始。
我正在通过 RADIUS 将身份验证设置为 Acme Packet Net-Net 3820 (SBC)。会计方面的工作正常,没有任何问题。身份验证方面是另一回事。我可以从数据包捕获中看到访问请求消息实际上正在到达 RADIUS 服务器,此时 RADIUS 服务器开始与域控制器通信。然后我看到通信链返回到 RADIUS,最后返回到 SBC。问题是我得到的响应始终是一条原因代码为 16 的访问拒绝消息(由于用户凭据不匹配导致身份验证失败。提供的用户名与现有用户帐户不匹配或密码不正确)。通过查看安全事件日志可以确认这一点,我可以在其中看到事件 4625 和 6273。
事件 ID:6273
Network Policy Server denied access to a user.
Contact the Network Policy Server administrator for more information.
User:
Security ID: NULL SID
Account Name: real_username
Account Domain: real_domain
Fully Qualified Account Name: real_domain\real_username
Client Machine:
Security ID: NULL SID
Account Name: -
Fully Qualified Account Name: -
OS-Version: -
Called Station Identifier: -
Calling Station Identifier: -
NAS:
NAS …我们确实有一个 Google Apps 域,我们希望配置一个 Radius 服务器,以便人们使用他们的公司凭据 (Google Apps) 登录我们的公司 WiFi 或 VPN。
为了使问题更加复杂,我们已经为我们的 Google 帐户启用了 2FA。尽管如此,如果这会成为一个障碍,我们可以要求人们为此目的使用应用程序密码,以避免 2FA 问题。
到目前为止,我尝试使用https://github.com/layeh/google-apps-radius并且它确实通过了radtest但它无法与我们的 UniFi AP 一起使用。虽然我联系了供应商以获取详细信息,但我正在寻找替代方案,以防此 Radius 服务器无法真正工作。我们也在考虑托管解决方案。
我想在我们的 NPS 服务器上替换用于 PEAP 的 SSL 证书,该服务器正在为我们的 Cisco WLC 进行 RADIUS 身份验证。当前的证书是一个 SSL 证书,它进行客户端身份验证和服务器身份验证。我们希望将其替换为我们在域中其他地方使用的通配符,以简化 SSL 证书的管理。
我在这里阅读了 Microsoft 文档,其中概述了在 PEAP 中使用 3rd 方证书的要求。我们使用的通配符满足所有这些要求。Microsoft 支持人员已经有两个工作日无法解决此问题,他们唯一的回应是:“这一定是证书有问题”,但他们无法具体告诉我它有什么问题,因为它满足所有这些要求.
虽然我的案例正在升级,但我做了一些研究,其他人在执行 RADIUS 的 IAS/NPS 服务器上使用带有 PEAP 的 3rd 方证书时遇到了问题。据我所知,微软还没有正式回应。有谁知道通配符证书是否可以用于 PEAP?
这个问题实际上与这个问题相同,但区别在于认证服务器是 Ubuntu 上的 freeRADIUS,接入点是 DD-WRT。
此外,我想知道禁用 TTLS 是否有任何风险(据我所知,身份验证过程中需要证书的部分)或者这是否是一种选择。
我现在明白 TLS 和 TTLS 之间存在差异。我想使用 TTLS,因为它不需要客户端配置。我已将答案分配给下面的帖子,因为它有助于实现这一点,并且我编辑了标题以更好地反映他的结论。
我正在将 NPS 配置为无线客户端的 RADIUS 身份验证源。
我试图区分上课时间和下班时间,因为我需要将某些用户连接到不同的网络,以便下班后访问额外资源。
我可以设置日期和时间限制,但仅限于小时精度。我需要最坏的 30 分钟间隔,15 分钟间隔是理想的。
有谁知道微软的 NPS 是否可以做到这一点?