我不是一名networking工程师,而是一名翻译,所以如果对于你们中的一些人来说,这是一个相当明显的问题,我很抱歉。 通常Google可以回答我的问题,但在这种情况下,我会空白。 如果我在错误的论坛上提问,请告诉我。 文本正在谈论RADIUS计费function。 它说当有多个(超过200个)authentication的terminal时,如果发出强制清除terminal的命令,则可能发生“滑到下一个RADIUS计费服务器” – 原来的文字字面上是“RADIUS记帐服务器 – 幻灯片”。 我想我基本上可以理解他们在意义上的含义,但是我想知道这是否是正确的expression方式。 我无法简单地通过谷歌searchfind它的印象,也许它用英语描述不同。
我使用Ubuntu 10.04.4上的FreeRADIUS 2.1.8进行WPA2 802.11x EAP身份validation设置,并使用PEAP / MSCHAPv2,TTLS / MSCHAPv2和TTLS / PAP(均通过AP和eapol_test )进行身份validation 。 我现在试图根据用户所属的LDAP组来限制对特定SSID的访问。 我在/etc/freeradius/modules/ldapconfiguration了组成员身份检查,如下所示: groupname_attribute = cn groupmembership_filter = "(|(&(objectClass=posixGroup)(memberUid=%{User-Name}))(&(objectClass=posixGroup)(uniquemember=%{User-Name})))" 并且我已经根据Mac Auth wiki页面将从被叫台ID中提取的SSIDconfiguration为被叫台SSID。 在/etc/freeradius/eap.conf我已经启用了将外层隧道的属性复制到内层隧道中,以及在外层隧道(对于PEAP和TTLS)中使用内层隧道响应。 然而,在更改这些选项之前,我有相同的行为。 copy_request_to_tunnel = yes use_tunneled_reply = yes 我正在运行eapol_test来testing设置: eapol_test -c peap-mschapv2.conf -a 172.16.0.16 -s testing123 -N 30:s:01-23-45-67-89-01:Example-EAP 使用以下peap-mschapv2.conf文件: network={ ssid="Example-EAP" key_mgmt=WPA-EAP eap=PEAP identity="mgorven" anonymous_identity="anonymous" password="foobar" phase2="autheap=MSCHAPV2" } 在/etc/freeradius/users : DEFAULT […]
目前,我正在致力于Microsoft NPS解决scheme,为有线和无线客户端提供802.1x MAC身份validation,同时为客户端提供VLAN。 目前,我们的无线接入点和交换机可以完美工作,但是我们希望NPS / RADIUS服务器能够通过访问接受来响应,即使MAC地址无法通过身份validation,从而将客户端置于访客/注册VLAN中。 是否有可能在NPS服务器上创build一个策略或规则,该策略或规则具有授权MAC地址不在数据库中并提供相关VLAN标记的作用? 我们已经使用vlan / tunnel-id字段为授权用户及其好用的vlan标记。 谢谢
我正在为我们的无线客户端开发Freeradius支持的802.1Xauthentication基础结构。 我在EAP-PEAP上使用了一个相当通用的Freeradiusconfiguration。 我们的客户主要是Windows XP SP3机器,但也有一些Windows 7 32和64位笔记本电脑。 我们的域位于Windows Server 2003的function级别。 802.1xauthentication与手动configuration的testing客户端一起工作。 我想创build一个GPO,通过以下方式自动configuration客户端:1)将自签名CA证书作为受信任根证书部署,2)将ESSID设置为具有相应802.1xconfiguration的首选networking。 我没有很难部署使用GPO的客户的自签名CA证书。 但是,我无法弄清楚如何在GPO中configuration证书作为受信任的根证书。 这是从Computer Configuration – Polices – Security Settings – Wireless Network (IEEE 802.11) Polices下的GPO设置Computer Configuration – Polices – Security Settings – Wireless Network (IEEE 802.11) Polices : 受信任的根证书颁发机构下的select中没有我自签名的CA证书。 由于“validation服务器证书”设置,在802.1x PEAP设置中尝试validation客户端,而我的自签名证书不被信任。 当然,如果我手动configuration客户端来信任我的证书,则可以正确validationradius服务器的证书,然后802.1x工作。 我的目标是能够将一台机器分配到OU,在这个GPO将被应用,并且所有得到的802.1X和CA设置将被做,而不必我必须接触客户端机器。 如何为802.1x PEAP设置生成一个GPO,以便设置客户端信任我的自签名CA证书? 编辑: 由于成本问题,Microsoft NPS或NAP服务器在这一点上对于我的组织来说不是真正的select。 描述我们的环境的最佳方式是集中的位置,运行我们的核心服务,并通过速度和可靠性不同的WAN链路连接了二十多个远程站点。 我们对这些远程站点实施积极的物理或策略控制方面具有不同的能力和成功,因此它们是我无线和最终有线802.1xauthentication的主要关注点。 如果我们丢失广域网链路(这种情况不常发生),我仍然需要远程站点的客户端才能访问networking,因此在这些位置的大部分情况下都需要RADIUS服务器。 另一个窗口服务器的请求将被拒绝。 从历史上看,我们所有的Linux服务器和networking设备都与我们的域基础设施保持独立。 […]
我有专有的networking应用程序,以sha1 $ 79b2c $ b3704ec5703ef28ded379cf6c6de4c4160aa029b的forms存储用户密码。 这是一个盐腌sha1哈希。 我也想用freeradius这个预设的信息。 Crypt-Password属性在半径中定义,但AFAIK只是密码的md5散列。 我试过这个,但是这没有按照我的预期工作。 我怎样才能使用相同的ceredentials在freeradiusvalidation用户? 是否可以运行一些脚本并接受其返回值? 如果我更改专有Web应用程序以保存另一个表单上的用户信用,我应该select与Freeradius兼容吗? 除了Cleartext和MD5。
目前我们有一台Vigor 3300路由器,可以作为我们的VPN服务器。 目前,我们在设备中手动设置家庭工人的连接。 我想要做的是删除这个额外的步骤,而不是让他们使用他们的Active Directory凭据login到VPN。 我明白RADIUS是做到这一点的方法。 不幸的是,Vigor手册是相当隐秘的,虽然它提供了如何设置单元本身的详细信息,但我不确定如何设置实际的RADIUS服务器。 任何人可以提供一些通用的build议,如何做到这一点,或指向互联网上的一个白痴certificate资源。 非常感激。
为我的networking设备实现Radius有很多问题: 如何安全地实现aaa Radiusauthentication,以确保用户login使用本地数据库,以防止Radius失败。 如何为less数用户提供只读访问权限,并完全访问pipe理员。 如果我保存configuration的话Incase将会有可能login到设备(假设radius和Local凭证都不起作用)。 如何恢复设备,特别是防火墙的密码。
在Windows计算机上使用基于802.1x证书的身份validation时,是否应为每台计算机使用不同的证书? 在networking中运行RADIUS服务器,机器使用EAP-TLS与networking交换机通信。 如果我应该如何为数百台电脑分发这些证书? 这是否总是需要人工干预? 我在想,没有证书的PC不能连接到networking,所以这样的任务不能使用GPO轻松编写脚本。 我可以想象这是添加新计算机或颁发新证书时出现的问题。
我无法让WPA2企业在我的networking上工作。 我会给你一个当前设置的概述。 Windows域,使用IAS和它自己的CA Linksys WAP200接入点 我设置AP使用WPA2-企业混合使用RADIUS我设置和注册域控制器上的IAS。 我将AP添加为客户端,并试图使用RADIUS标准和Cisco作为RADIUStypes。 我configuration了IAS策略以授予对域计算机的访问权限,身份validation设置为PEAP并使用由我们的CA颁发的私人证书,其他configuration文件设置都是默认设置。 笔记本电脑上的客户端设置与IAS设置匹配,并且证书已经安装完毕。 支持WPA2,因为我可以连接到WPA2个人接入点。 我已经尝试了多台笔记本电脑。 在连接期间,它闪烁,“连接”了一秒,然后进入“validation身份”,最终超时。 我正在使用Windows无线连接pipe理器。 任何帮助将非常感激!
我们是一个小型办公室,并将Cisco Aironet 1250接入点设置为WPA-PSK。 现在我们已经部署了Active Directory,我想通过半径而不是PSK来validation用户。 为此,我在我的SBS 2011服务器上安装了NPS。 WiFi客户端是一些公司笔记本电脑,一些个人iPhone,iPad,Android手机等,即各种设备的组合,并非全部join到域中。 似乎所有涉及Aironet支持的radius的authentication方法都需要某种PKI基础设施。 我设法轻松地configuration我们的Cisco ASA 5505,以对同一个radius服务器validationIPSEC VPN客户端,但无法弄清楚如何设置Aironet。 我是否真的需要在所有这些设备上安装我的NPS服务器证书,就像我见过的一些人所build议的那样?