2. Fórumok
  3. Infotech
  4. Rendszergazda topic
  5. (kiemelt téma)
Keresés

Új hozzászólás Aktív témák

  • #23831 F.E.K.. senior tag kriszrap #23830
    Új Válasz #23831
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    F.E.K..

    senior tag

    válasz kriszrap #23830 üzenetére

    A wifi radius-al való "használatához" nem kell a kliensnek (notebook, mobiltelefon, stb.) tartományi tagnak lennie.

    Ha van AD kiszolgáló akkor azon neked egy NAP (Network Access Protection (NAP) policy) server kell, bár windows-ban kevésbé vagyok otthon (én ldap-ot használok freeradius-al), de erre indulnék el: [link]

    (Vagy felraknák egy külön radius szervert és az használná az AD címtárát akár)

    Természetesen 802.1x képes AP-k (és kliensek, de az nem igen lehet gond hacsak nagyon régi eszköz nem kerül esetleg elő) és érvényes tanúsítvány szükséges a dologhoz (self signed esetén jó eséllyel importálni kell a kliensre hogy elfogadja).

    (Windows szakemberek remélhetőleg majd kijavítanak ha esetleg ez félrevinne).

    "Na most az a másik kérdésem ha a diák számítógép nevet lemásolja a sajátjára akkor is radiustól kap engedélyt ha gép hitelesítés van beállítva vagy ilyenkor a radius gépnévnél mit ellenőriz?"

    A MAC ez esetben nem "játszik".
    Egyszerűsítve:
    A címtárban szereplő felhasználó név/jelszó páros alapján hitelesít, azaz ha a forrás egy AD, akkor az ott lévő felhasználói név és jelszó páros szolgál hitelesítésre (minden felhasználó a saját adataival jelentkezik be megosztott kulcs helyett.).

    Példa:
    WPA2 wifi esetén a kliens (legyen mondjuk egy mobiltelefon) az előre legenerált kulcs megadásával csatlakozik a wifi hálózathoz.

    EAP esetén a felhasználói azonosító megadása után (ez is elmenthető ugyanúgy mint a psk) az ap elküldi a megadott adatokat a radius kiszolgálónak, és az ellenőrzi vissza hogy helyes-e. Ha igen, az AP az alapján engedi fel a hálózatra.

    Ha valaki megtudja a másik felhasználó név és jelszó párosát akkor annak a nevében tud netezni (meg minden mást is végrehajtani természetesen, ez egy OTP One Time Passwords megoldás).

    Ha a diákoknak is van AD azonosítója akkor "saját jogán" netezhetnek ők is, akár külön rájuk vonatkozó korlátozásokkal (pl. a diák nem éri el a belső halózatot csak netezni tud, esetleg azt is csak meghatározott idődzakokban, stb.)

    [ Szerkesztve ]

    Legyen olyan szép és vidám napod amilyet csak szeretnél!

Új hozzászólás Aktív témák