व्यावहारिक दृष्टिकोण से, प्रत्येक उपयोगकर्ता को एक पासवर्ड जारी करके वाई-फाई नेटवर्क का प्रबंधन करना सुविधाजनक होगा। इससे आपके वायरलेस नेटवर्क को एक्सेस करना आसान हो जाता है। तथाकथित WPA2 PSK प्राधिकरण का उपयोग करते हुए, एक आकस्मिक उपयोगकर्ता तक पहुंच को रोकने के लिए, आपको कुंजी को बदलने की आवश्यकता है, और प्रत्येक व्यक्तिगत वाई-फाई डिवाइस पर प्राधिकरण प्रक्रिया से भी गुजरना होगा। इसके अलावा, यदि आपके पास कई पहुंच बिंदु हैं, तो उन सभी पर कुंजी को बदलना होगा। और अगर आपको किसी से पासवर्ड छिपाने की आवश्यकता है, तो आपको सभी कर्मचारियों को एक नया आउट देना होगा।

एक स्थिति की कल्पना करें - कोई और आपके कार्यालय में आया (ग्राहक, प्रतिपक्ष?), और आपको उसे इंटरनेट तक पहुंच देने की आवश्यकता है। उसे WPA2 - कुंजी देने के बजाय, आप उसके लिए एक अलग खाता बना सकते हैं, जो तब, उसके जाने के बाद, अवरुद्ध होने के लिए ~~हटाया जा सकता है~~ । इससे आपको अपने खातों को प्रबंधित करने की सुविधा मिलेगी, और उपयोगकर्ता बहुत प्रसन्न होंगे।

हम कॉर्पोरेट नेटवर्क में उपयोग की जाने वाली सुविधाजनक योजना बनाएंगे, लेकिन न्यूनतम वित्तीय और हार्डवेयर निवेश के साथ पूरी तरह से तात्कालिक साधनों से। उसे सुरक्षा सेवा और प्रबंधन द्वारा अनुमोदित किया जाएगा।

सिद्धांत की बिट

एक बार, IEEE इंजीनियर 802.1x मानक के साथ आए। यह मानक डेटा ट्रांसमिशन माध्यम से कनेक्ट होने पर तुरंत उपयोगकर्ता को अधिकृत करने की क्षमता के लिए जिम्मेदार है। दूसरे शब्दों में, यदि कनेक्शन के लिए, उदाहरण के लिए, PPPoE, आप एक माध्यम (स्विच) से कनेक्ट कर रहे हैं, और आप पहले से ही डेटा स्थानांतरित कर सकते हैं, तो इंटरनेट तक पहुंचने के लिए प्राधिकरण की आवश्यकता है। 802.1x के मामले में, जब तक आप लॉग इन नहीं करते तब तक आप कुछ नहीं कर सकते। अंत डिवाइस स्वयं आपको अनुमति नहीं देगा। वाई-फाई पहुंच बिंदुओं के साथ एक समान स्थिति। आप के प्रवेश पर निर्णय एक बाहरी प्राधिकरण सर्वर पर किया जाता है। यह त्रिज्या, टीएसीएसीएस, टीएसीएसीएस + आदि हो सकता है।

शब्दावली

सामान्य तौर पर, एक बिंदु पर उपयोगकर्ता प्राधिकरण निम्नलिखित प्रकार के हो सकते हैं:

खुला - सभी के लिए उपलब्ध
WEP - पुराना एन्क्रिप्शन। पहले से ही सभी गंजे धब्बों पर कि इसका इस्तेमाल करना बिल्कुल भी जरूरी नहीं है
WPA - TKIP द्वारा एक एन्क्रिप्शन प्रोटोकॉल के रूप में उपयोग किया जाता है
WPA2 - एईएस एन्क्रिप्शन का उपयोग करना

अब, आइए विकल्पों के बारे में देखें कि एक्सेस प्वाइंट अपने आप कैसे पता चलेगा कि उपयोगकर्ता को नेटवर्क तक पहुंच प्रदान करना संभव है या नहीं:

WPA-PSK, WPA2-PSK - पहुंच कुंजी बहुत बिंदु पर है।
WPA-EAP, WPA2-EAP - किसी तीसरे पक्ष के सर्वर पर कुछ दूरस्थ डेटाबेस के खिलाफ पहुंच कुंजी की जाँच की जाती है

प्राधिकरण सर्वर (पीईएपी, टीएलएस, टीटीएलएस ...) को अंत डिवाइस को जोड़ने के तरीकों की एक बड़ी संख्या भी है। मैं यहां उनका वर्णन नहीं करूंगा।

सामान्य नेटवर्क आरेख

स्पष्ट समझ के लिए, हम अपनी भविष्य की योजना के काम की एक सामान्य योजना देते हैं:

यदि शब्दों में, तो क्लाइंट, जब वाई-फाई बिंदु से जुड़ा होता है, तो उपयोगकर्ता नाम और पासवर्ड दर्ज करने के लिए कहा जाता है। लॉगिन और पासवर्ड प्राप्त करने के बाद, वाई-फाई बिंदु इस डेटा को RADIUS सर्वर पर स्थानांतरित करता है, जिससे सर्वर जवाब देता है कि इस क्लाइंट के साथ क्या किया जा सकता है। जवाब के आधार पर, बिंदु यह तय करता है कि इसे एक्सेस देना है, गति में कटौती करना है या कुछ और।
स्थापित किए गए फ़्रीराडियस वाला हमारा सर्वर उपयोगकर्ताओं को अधिकृत करने के लिए जिम्मेदार होगा। Freeradius RADIUS प्रोटोकॉल का कार्यान्वयन है, जो सामान्य एएए प्रोटोकॉल का कार्यान्वयन है। एएए निम्नलिखित क्रियाओं को करने के लिए उपकरणों का एक समूह है:
प्रमाणीकरण - उपयोगकर्ता नाम और पासवर्ड की वैधता की जाँच करता है।
प्राधिकरण - कुछ कार्यों को करने के अधिकारों के लिए जाँच।
लेखांकन - प्रणाली में आपके कार्यों को ध्यान में रखता है।
प्रोटोकॉल स्वयं उपयोगकर्ता नाम, विशेषताओं की सूची और उनके मूल्यों को पारित करता है। उदाहरण के लिए, विशेषता प्रामाणिक-प्रकार: = अस्वीकार - इस ग्राहक को अस्वीकार करें, और क्लाइंट-पासवर्ड == "पासवर्ड" - पासवर्ड मान के साथ अनुरोध में विशेषता की तुलना करें।
सामान्यतया, खातों और उनके लिए अधिकारों के डेटाबेस को एक RADIUS सर्वर पर संग्रहीत करने की आवश्यकता नहीं होती है, और डेटाबेस कुछ भी हो सकता है - उपयोगकर्ता, विंडोज डोमेन के उपयोगकर्ता ... हां यहां तक कि एक पाठ फ़ाइल भी। लेकिन हमारे मामले में, सब कुछ एक ही स्थान पर होगा।

मूल सेटिंग

इस लेख में, हम मुख्य रूप से WPA2-EAP / TLS प्रमाणीकरण विधि में रुचि लेंगे।
3 हजार से अधिक रूबल की कीमत वाले लगभग सभी आधुनिक वाई-फाई एक्सेस पॉइंट उस तकनीक का समर्थन करते हैं जिसकी हमें ज़रूरत है। क्लाइंट डिवाइस और भी अधिक समर्थन करते हैं।
लेख में मैं निम्नलिखित हार्डवेयर और सॉफ्टवेयर का उपयोग करूंगा:

Ubiquiti NanoStation M2 एक्सेस प्वाइंट
Gentoo सर्वर और Freeradius
क्लाइंट सॉफ़्टवेयर स्थापित सॉफ़्टवेयर विंडोज 7, एंड्रॉइड, आईओएस के साथ

एक्सेस प्वाइंट सेटअप

मुख्य बात यह है कि बिंदु वांछित प्रमाणीकरण विधि का समर्थन करता है। इसे अलग-अलग उपकरणों में अलग-अलग कहा जा सकता है: WPA-EAP, WPA2 एंटरप्राइज, आदि। किसी भी स्थिति में, हम प्रमाणीकरण का चयन करते हैं, RADIUS सर्वर का IP पता और पोर्ट सेट करते हैं और Freeradius की स्थापना करते समय हमने क्लाइंट में जो कुंजी दर्ज की है।
मैं कॉन्फ़िगर Ubiquiti बिंदु से एक तस्वीर दूंगा। एक निशान के साथ चिह्नित है जिसे बदलने की आवश्यकता है।

RADIUS सर्वर

आइए हमारे लिनक्स कंप्यूटर पर जाएं और एक RADIUS सर्वर स्थापित करें। मैंने फ्रीडेरियस लिया, और मैंने इसे गेंटू पर डाल दिया। मेरे आश्चर्य के लिए, RuNet में हमारे उद्देश्यों के लिए Freeradius 2 के कॉन्फ़िगरेशन से संबंधित कोई सामग्री नहीं है। सभी लेख काफी पुराने हैं, इस सॉफ्टवेयर के पुराने संस्करणों को देखें।

root@localhost ~ # emerge -v freeradius

यह सब :) RADIUS सर्वर पहले से ही काम कर सकता है :) आप इसे इस तरह से देख सकते हैं:

 root@localhost ~ # radiusd -fX

यह डिबग-मोड है। सभी जानकारी कंसोल पर बाहर आती है। चलो इसे सेट करें।
लिनक्स में हमेशा की तरह, विन्यास फाइल विन्यास के माध्यम से किया जाता है। कॉन्फ़िगरेशन फ़ाइलें / etc / raddb में संग्रहीत की जाती हैं। चलो प्रारंभिक चरणों को करते हैं - मूल कॉन्फ़िगरेशन की प्रतिलिपि बनाएँ, किसी भी कचरे से कॉन्फ़िगरेशन को साफ करें।

 root@localhost ~ # cp -r /etc/raddb /etc/raddb.olg root@localhost ~ # find /etc/raddb -type f -exec file {} \; | grep 'text' | cut -d':' -f1 | xargs sed -i '/^ *\t* *#/d;/^$/d'

इसके बाद, क्लाइंट - एक्सेस प्वाइंट जोड़ें। निम्नलिखित पंक्तियों को / etc / raddb / क्लाइंट फ़ाइल में जोड़ें:

 root@localhost ~ # cat /etc/raddb/clients.conf | sed '/client test-wifi/,/}/!d' client test-wifi { ipaddr = 192.168.0.1 #IP  ,      secret = secret_key # .       Wi-Fi . require_message_authenticator = no # ,  - D-Link      }

इसके बाद, उपयोगकर्ताओं के लिए डोमेन जोड़ें। चलो डिफ़ॉल्ट बनाते हैं।

 root@localhost ~ # cat /etc/raddb/proxy.conf | sed '/realm DEFAULT/, /^}/!d' realm DEFAULT { type = radius authhost = LOCAL acchost = LOCAL }

RADIUS में डोमेन

यहां यह ध्यान दिया जाना चाहिए कि आप उपयोगकर्ताओं को डोमेन में विभाजित कर सकते हैं। अर्थात्, डोमेन को उपयोगकर्ता नाम प्रारूप (उदाहरण के लिए, उपयोगकर्ता @ त्रिज्या) में निर्दिष्ट किया जा सकता है। DEFAULT का मतलब है कोई अपरिभाषित डोमेन। NULL - बिना डोमेन के। डोमेन के आधार पर (आप उपयोगकर्ता नाम में उपसर्ग कह सकते हैं), आप विभिन्न क्रियाएं कर सकते हैं, जैसे किसी अन्य होस्ट को प्रमाणित करने का अधिकार देना, क्या लॉगिन सत्यापन के दौरान डोमेन से नाम अलग करना है, आदि।

और अंत में, उपयोगकर्ताओं को / etc / raddb / उपयोगकर्ताओं फ़ाइल में जोड़ें:

 root@localhost ~ # cat /etc/raddb/users | sed '10,$!d' user1 Cleartext-Password := "password1" user2 Cleartext-Password := "password2" user3 Cleartext-Password := "password3"

वाह, आप शुरू कर सकते हैं!

 root@localhost ~ # radiusd -fX

हमारा सर्वर चल रहा है और कनेक्शन की प्रतीक्षा कर रहा है!

ग्राहक सेटअप

आइए मुख्य उपयोगकर्ता उपकरणों के कॉन्फ़िगरेशन पर जाएं। हमारे कर्मचारियों के पास एंड्रॉइड, आईओएस और विंडोज 7 पर काम करने वाले क्लाइंट हैं। हम तुरंत एक आरक्षण करेंगे: चूंकि हम स्व-निर्मित प्रमाण पत्र का उपयोग करते हैं, हमें कई बार सभी प्रकार के अपवाद बनाने और कार्यों की पुष्टि करने की आवश्यकता होती है। यदि हम खरीदे गए प्रमाण पत्र का उपयोग करते हैं, तो शायद सब कुछ आसान होगा।

IOS उपकरणों पर सब कुछ सरल है। उपयोगकर्ता नाम और पासवर्ड दर्ज करें, "प्रमाणपत्र स्वीकार करें" पर क्लिक करें, और जाएं।

आईओएस स्क्रीनशॉट

यह थोड़ा अधिक जटिल दिखता है, लेकिन व्यवहार में, एंड्रॉइड पर सब कुछ सरल भी है। कुछ और इनपुट फ़ील्ड हैं।

Android स्क्रीनशॉट

खैर, विंडोज 7 पर आपको थोड़ा कॉन्फ़िगर करना होगा। हम निम्नलिखित कदम उठाते हैं:
हम वायरलेस कनेक्शन के केंद्र में जाते हैं।

अपने वायरलेस कनेक्शन के गुणों में आवश्यक पैरामीटर सेट करें
उन्नत ईएपी सेटिंग्स में आवश्यक पैरामीटर सेट करें
उन्नत सेटिंग्स उन्नत विकल्पों में आवश्यक पैरामीटर सेट करें
हम टास्कबार में वाई-फाई नेटवर्क से कनेक्ट करते हैं और लॉगिन पासवर्ड दर्ज करते हैं, वाई-फाई तक पहुंच का आनंद लेते हैं

अगला, मैं विशेष रूप से मेरे जैसे लोगों के लिए संवाद बॉक्स के स्क्रीनशॉट पेश करूंगा, जिनकी आंखें विंडोज संवाद बॉक्स से बिखरी हुई हैं।

विंडोज स्क्रीनशॉट

चरण 1

चरण 2

चरण 3

चरण 4

चरण 5

खुद का मिनी बिलिंग

अब, एक समस्या बनी हुई है - यदि आप एक नए उपयोगकर्ता को जोड़ना-हटाना चाहते हैं, तो आपको उपयोगकर्ताओं को बदलना होगा और त्रिज्या को पुनरारंभ करना होगा। इससे बचने के लिए, हम एक डेटाबेस कनेक्ट करेंगे और उपयोगकर्ताओं के लिए अपना स्वयं का मिनी बिलिंग बनाएंगे। डेटाबेस का उपयोग करके, आप उपयोगकर्ता के पासवर्ड को जोड़ने, लॉक करने, बदलने के लिए हमेशा एक सरल स्क्रिप्ट स्केच कर सकते हैं। और यह सब पूरे सिस्टम को बंद किए बिना होगा।

अपने लिए, मैंने पोस्टग्रेज का उपयोग किया, आप अपनी इच्छानुसार चुन सकते हैं। मैं विभिन्न अभिगम अधिकारों, पासवर्ड और अन्य ट्रिक्स और उपयुक्तताओं में तल्लीन किए बिना, पोस्टग्रेज का मूल विन्यास लाता हूं।

सबसे पहले, डेटाबेस खुद बनाएं:

 root@localhost ~ # psql -U postgres radius_wifi=> create user radius_wifi with password 1111; radius_wifi=> create database radius_wifi with owner=radius_wifi; radius_wifi=> \q

अगला, आपको आवश्यक तालिकाओं को बनाने की आवश्यकता है। सामान्य तौर पर, फ्रीराडियस विभिन्न डेटाबेस के लिए टेबल स्कीमा पर प्रलेखन प्रदान करता है, हालांकि वे अलग-अलग वितरणों में विभिन्न स्थानों पर स्थित होते हैं। मेरे लिए व्यक्तिगत रूप से, यह /etc/raddb/sql/postgresql/schema.qql में निहित है। बस इन पंक्तियों को psql में चिपकाएँ, या बस चलाएं

 root@localhost ~ # cat /etc/raddb/sql/postgresql/schema.sql | psql -U radius_wifi radius_wifi

बस के मामले में, यहां पोस्टग्रेज के लिए एक आरेख जोड़ें:

पोस्टग्रेज की योजना

 root@localhost ~ # cat /etc/raddb/sql/postgresql/schema.sql | sed '/^--/d;/\/\*/d;/\*/d;/^$/d;' CREATE TABLE radacct ( RadAcctId BIGSERIAL PRIMARY KEY, AcctSessionId VARCHAR(64) NOT NULL, AcctUniqueId VARCHAR(32) NOT NULL UNIQUE, UserName VARCHAR(253), GroupName VARCHAR(253), Realm VARCHAR(64), NASIPAddress INET NOT NULL, NASPortId VARCHAR(15), NASPortType VARCHAR(32), AcctStartTime TIMESTAMP with time zone, AcctStopTime TIMESTAMP with time zone, AcctSessionTime BIGINT, AcctAuthentic VARCHAR(32), ConnectInfo_start VARCHAR(50), ConnectInfo_stop VARCHAR(50), AcctInputOctets BIGINT, AcctOutputOctets BIGINT, CalledStationId VARCHAR(50), CallingStationId VARCHAR(50), AcctTerminateCause VARCHAR(32), ServiceType VARCHAR(32), XAscendSessionSvrKey VARCHAR(10), FramedProtocol VARCHAR(32), FramedIPAddress INET, AcctStartDelay INTEGER, AcctStopDelay INTEGER ); CREATE INDEX radacct_active_user_idx ON radacct (UserName, NASIPAddress, AcctSessionId) WHERE AcctStopTime IS NULL; CREATE INDEX radacct_start_user_idx ON radacct (AcctStartTime, UserName); CREATE TABLE radcheck ( id SERIAL PRIMARY KEY, UserName VARCHAR(64) NOT NULL DEFAULT '', Attribute VARCHAR(64) NOT NULL DEFAULT '', op CHAR(2) NOT NULL DEFAULT '==', Value VARCHAR(253) NOT NULL DEFAULT '' ); create index radcheck_UserName on radcheck (UserName,Attribute); CREATE TABLE radgroupcheck ( id SERIAL PRIMARY KEY, GroupName VARCHAR(64) NOT NULL DEFAULT '', Attribute VARCHAR(64) NOT NULL DEFAULT '', op CHAR(2) NOT NULL DEFAULT '==', Value VARCHAR(253) NOT NULL DEFAULT '' ); create index radgroupcheck_GroupName on radgroupcheck (GroupName,Attribute); CREATE TABLE radgroupreply ( id SERIAL PRIMARY KEY, GroupName VARCHAR(64) NOT NULL DEFAULT '', Attribute VARCHAR(64) NOT NULL DEFAULT '', op CHAR(2) NOT NULL DEFAULT '=', Value VARCHAR(253) NOT NULL DEFAULT '' ); create index radgroupreply_GroupName on radgroupreply (GroupName,Attribute); CREATE TABLE radreply ( id SERIAL PRIMARY KEY, UserName VARCHAR(64) NOT NULL DEFAULT '', Attribute VARCHAR(64) NOT NULL DEFAULT '', op CHAR(2) NOT NULL DEFAULT '=', Value VARCHAR(253) NOT NULL DEFAULT '' ); create index radreply_UserName on radreply (UserName,Attribute); CREATE TABLE radusergroup ( UserName VARCHAR(64) NOT NULL DEFAULT '', GroupName VARCHAR(64) NOT NULL DEFAULT '', priority INTEGER NOT NULL DEFAULT 0 ); create index radusergroup_UserName on radusergroup (UserName); CREATE TABLE radpostauth ( id BIGSERIAL PRIMARY KEY, username VARCHAR(253) NOT NULL, pass VARCHAR(128), reply VARCHAR(32), CalledStationId VARCHAR(50), CallingStationId VARCHAR(50), authdate TIMESTAMP with time zone NOT NULL default 'now()' );

महान, आधार तैयार किया जाता है। अब हम Freeradius को कॉन्फ़िगर करते हैं।
जोड़ें, अगर यह वहाँ नहीं है, तो /etc/raddb/radiusd.conf पंक्ति में

  $INCLUDE sql.conf

अब अपनी वास्तविकता के अनुरूप /etc/raddb/sql.conf संपादित करें। यह मेरे लिए इस तरह दिखता है:

मेरा sql.conf

 root@localhost ~ # cat /etc/raddb/sql.conf sql { database = "postgresql" driver = "rlm_sql_${database}" server = "localhost" login = "radius_wifi" password = "1111" radius_db = "radius_wifi" acct_table1 = "radacct" acct_table2 = "radacct" postauth_table = "radpostauth" authcheck_table = "radcheck" authreply_table = "radreply" groupcheck_table = "radgroupcheck" groupreply_table = "radgroupreply" usergroup_table = "radusergroup" deletestalesessions = yes sqltrace = no sqltracefile = ${logdir}/sqltrace.sql num_sql_socks = 5 connect_failure_retry_delay = 60 lifetime = 0 max_queries = 0 nas_table = "nas" $INCLUDE sql/${database}/dialup.conf }

कुछ नए उपयोगकर्ता टेस्ट 1, टेस्ट 2, टेस्ट 3 और ... ब्लॉक टेस्ट 3 जोड़ें

 root@localhost ~ # psql -U postgres radius_wifi=> insert into radcheck (username, attribute, op, value) values ('test1', 'Cleartext-Password', ':=', '1111'); radius_wifi=> insert into radcheck (username, attribute, op, value) values ('test2', 'Cleartext-Password', ':=', '1111'); radius_wifi=> insert into radcheck (username, attribute, op, value) values ('test3', 'Cleartext-Password', ':=', '1111'); radius_wifi=> insert into radcheck (username, attribute, op, value) values ('test3', 'Auth-Type', ':=', 'Reject');

खैर, फ्रीडेरियस को पुनरारंभ करें और कनेक्ट करने का प्रयास करें। सब कुछ काम करना चाहिए!

बेशक, बिलिंग त्रुटिपूर्ण हो गई है - हम कहीं भी लेखांकन (उपयोगकर्ता कार्यों के लिए लेखांकन) पर जानकारी संग्रहीत नहीं करते हैं, लेकिन हमें यहां इसकी आवश्यकता नहीं है। लेखांकन रखने के लिए, आपको 3 हजार रूबल से अधिक महंगे वाई-फाई अंक भी चाहिए। लेकिन पहले से ही और इसलिए हम आसानी से उपयोगकर्ताओं को प्रबंधित करते हैं।

आगे क्या है

पिछले भाग में, हमने अपनी छोटी बिलिंग एकत्र की है! यह डेटाबेस के प्रबंधन के लिए कुछ WEB- इंटरफ़ेस को स्क्रू करके चित्र को पूरा करने के लिए रहता है, क्रून के लिए महीने में एक बार आवश्यक पासवर्ड परिवर्तन जोड़ें। और यदि प्रमाणपत्र और एक्सेस पॉइंट के वाई-फाई नियंत्रक अभी भी बर्बाद हो गए हैं, तो आपके पास अपने हाथों में एक पूर्ण कॉर्पोरेट वायरलेस नेटवर्क है। लेकिन इन लागतों के बिना और अपने हिस्से पर थोड़े प्रयास के साथ, अपने उपयोगकर्ताओं को इस तरह की पहुँच प्रदान करने के बाद, वे आपको बहुत धन्यवाद देंगे।

उपयोगी लिंक

पुराने लेकिन आंशिक रूप से वर्तमान ixbt मैनुअल
विकी फ्रीराडियस
प्रयोग करने योग्य वाई-फाई प्वाइंट उबिकिती नेनोस्टेशन एम 2

प्रत्येक उपयोगकर्ता के लिए उपयोगकर्ता नाम और पासवर्ड के साथ वाई-फाई या WPA2-EAP / TLS उपलब्ध साधन