我是一个无线networking的pipe理员…但是,由于大多数人不是专家似乎有一个普遍的问题连接到它…因为我们正在使用WPA企业,所以在Windows平台上有一些常见的步骤,必须被用来让它工作。 但用户是愚蠢的。
许多地方他们有某种types的opennet,只要能够连接就可以了……但是当访问网站时,这些网站不在某种内部列表中,而是被redirect到一个web服务器上的login页面,所以在你在那里authentication,你可以浏览互联网。
这是怎么做的? 任何提示? Linux呢? 视窗? 一些特殊的硬件/防火墙?
链接,信息…都欢迎。
在另一种生活中,我写了这样一个机制。 这里有一个小小的防火墙,在那里有一个networking服务器,在一个给定的IP地址之间打开和closures防火墙,还有一个默认的规则,将所有端口80的stream量redirect到具有login页面的Web服务器。 像蛋糕一样容易? 不是真的。
首先,你可以试试nocat ,一个开源项目来做这种事情。
不要试图去做(自己写一个通过强制门户进行无线authentication的机制)。 这是一个疯狂的小镇之路。
最简单的方法就是运行两套AP(如果它们是非Vlan,单个ssid用户AP)。 一组AP位于一个专用networking上,具有一个networking服务器,一个DHCP服务器和一个DNS服务器,可以与networking服务器的IP一起回答所有的DNS查询。 有人看起来google.com? 他们得到192.168.66.6。 他们查找snoopy.com? 192.168.66.6。 他们查找bobsyeruncle.net? 192.168.66.6。 在这个networking服务器上,你放置了一个网页,上面写着“欢迎来到(在这里插入公司)”。 “如果你想使用无线networking,把你的ssid改成”securenet“,把它设置为”WPA2“和”eap-ttls“(或者你正在使用的任何无线authentication协议)。
当然,其他接入点将连接到防火墙的“无线”接口,并允许在您的站点进行无线networking接入。
哦 – 等一下 – 你没有使用预共享密钥,是吗? 如果你是,你真的没有任何无线安全。 一旦我知道钥匙,我就可以监视每个人的交通。 即使是现在的垃圾消费者AP也支持WPA-enterprise和radius,并且可以在Windows上使用radius服务器,并使无线authentication正常工作。
对于这一课,你需要在机器上再放上四分之一,并提出另一个问题。
下面是我工作的地方(我们的networking人员可能会详细说明):
当您连接到开放的WLnetworking时,您将位于第一个公共vLAN,它将通过Squidredirect到我们身份validation页面的所有stream量。 身份validation(通过Kerberos)将用户放在第二个具有无限制访问权限的VLAN上。
我在那里的一些细节上有点灰,但我相信别人会填补缺失的地方。
如果您打开商业解决scheme, 思科无线产品可以做到这一点。 您购买了许多轻量级Aironet接入点(足以覆盖物理空间),无线局域网控制器来pipe理它们,并在控制器上configurationWeb身份validation。
你的费用是$ 500 / AP加上$ 2K- $ 5K的控制器(取决于你需要pipe理多less个AP)。
但是,我必须在这里说,正确执行的企业authentication不需要在客户端的任何步骤。 它只是工作。 使用AD,RADIUS,相同的无线控制器来pipe理networking,将正确的GPO推送到客户端,并且 – 魔术! – 每个人都在无线上,透明地validation他们的AD凭证。 然后,您可以使用Web身份validation进行访客访问。