我们确实有一个Google Apps域名,我们希望configuration一个Radius服务器,以便允许用户使用他们的公司证书(Google Apps)login到我们的公司WiFi或VPN。 为了使问题更加复杂,我们已经为我们的Google帐户启用了2FA。 不过,如果这将是一个阻碍,我们可以要求人们使用应用程序密码的目的,以避免2FA的问题。 到目前为止,我试图使用https://github.com/layeh/google-apps-radius ,它确实通过了最radtest但是它没有与我们的UniFi AP一起工作。 虽然我联系了供应商的细节,我正在寻找替代品,以防这个Radius服务器不能真正的工作。 我们也在考虑托pipe解决scheme。
我们正在部署使用Windows Server 2008 NAC作为RADIUS服务器的无线networking。 当Windows XP或7客户端连接时,它们初始化失败。 为了使客户端连接,我们必须手动添加networking,并取消选中“validation服务器证书”,如下面的截图所示。 有谁知道一种避免必须这样做的方法? 我们非常乐意从Verisign,Thwarte等购买证书,如果它会帮助我们尝试我们的Comodo通配符SSL证书,但没有解决这个问题。 这些机器属于最终用户,所以我们不能轻易地使用组策略或registry黑客来控制设置。
我正在configurationNPS作为我的无线客户端的RADIUS身份validation源。 我试图区分上课时间和下class后时间,因为我需要将某些用户连接到不同的networking,以便在下class后访问额外的资源。 我可以设置date和时间的限制,但只有小时精度。 我需要30分钟的时间间隔,15分钟的时间间隔是理想的。 有谁知道这是微软的NPS可能吗?
我想replace为我们的思科WLC执行RADIUS身份validation的NPS服务器上用于PEAP的SSL证书。 当前证书是执行客户端身份validation和服务器身份validation的SSL证书。 我们希望将其replace为我们在其他域中使用的通配符,以简化对SSL证书的pipe理。 我在这里阅读了Microsoft文档,其中概述了在PEAP中使用第三方证书的要求。 我们正在使用的通配符符合所有这些。 微软的支持已经无法解决这个问题了两个工作日,他们唯一的回应是:“这肯定是证书的问题”,但他们不能具体告诉我这是错的,因为它符合所有这些要求。 虽然我的情况正在升级,但是我做了一些研究,而其他人在使用RADIUS的IAS / NPS服务器上使用带PEAP的第三方证书时遇到了问题。 据我所知,没有任何微软官方的回应。 有谁知道肯定如果一个通配符证书可以用于PEAP?
这个问题与这个问题几乎是一样的,但区别在于,authentication服务器是Ubuntu上的freeRADIUS,接入点是DD-WRT。 此外,我想知道是否有任何风险禁用TTLS(从我所了解的身份validation过程中需要证书的部分)或者甚至是一个选项。 我现在明白,TLS和TTLS是有区别的。 我想使用TTLS,因为它不需要客户端configuration。 我已经为下面的post分配了答案,因为它帮助我们实现了这一点,并且我已经编辑了标题以更好地反映他的结论。
我们(和我一起工作的科技公司)生活在一个偏远的北方城镇,互联网接入有点奢侈,带宽相当有限。 在这里,每月几百到几千美元的超额费用并不less见。 我自己定期收取月费,只是通过我在家常规的互联网使用(我被允许10G为60CAD!) 作为我工作的一部分,我发现自己涉及到几家正在感受这一点的酒店。 我知道我可以想出一些办法来解决这个问题,但是我对系统pipe理还比较陌生,我不希望我的梦想能够克服现实。 所以,我把这些想法传达给你,那些比我有更多经验的人,希望你能分享一些你的想法和关注。 这个系统必须具有成本效益,是的,这里的收费很高,但是对技术的信任是我见过的最低的。 必须能够帮助客户减less他们的使用(鱿鱼) 允许有限的(吞吐量和总使用量)免费的互联网,因为这往往是特许经营政策。 允许用户跟踪他们的带宽使用情况 允许(可选)更高的速度和/或使用额外收费。 这笔费用可以在退房时在前台索取,不应要求使用PayPal或信用卡。 不幸的是,一些特许经营有荒谬的政策,需要使用一个 第三方远程服务来validation您的networking访客。 这意味着WPA不在了,这也意味着在互联网使用之前我不authentication,这将是他们的工作。 但是,如果酒店没有这个政策,我确实需要能够对互联网接入进行authentication。 我仍然需要跟踪带宽(默认情况下是来宾账户),并提供相同的限制,但客人往往需要一个完整的“无限”访问,存在,而不是吞吐量。 为没有任何东西,办公室和访客networking隔离的酒店提供防火墙function(其中一些人在访客networking上运行他们的办公室,没有encryption,还有一个简单的TOS服务!) 防止客人连接到其他客人,但提供了一种方法,让这种情况发生。 IE浏览器。 每个访客连接到一个页面,并允许其他客人,这写了一个iptables规则(与python-netfilter),并允许两个房间玩游戏,例如。 我对如何实现这一点的想法。 一个体面的盒子(我们现在称之为一个路由器)有很多内存和3个NIC: 互联网 办公室 嘉宾(AP +室内以太网) 路由器防火墙规则 访客可以只与路由器通话,通过路由器到达他们需要去的地方,包括互联网服务。 如果现有的解决scheme不到位,Office可以用来将Office连接到Internet,否则,它只能用于networking可访问的Web(webmin + python-webmin?)界面。 路由器软件: OpenVZ为我不太信任的一些服务提供虚拟化。 鱿鱼,FreeRADIUS和Apache。 唯一可以直接访问的服务是Apache。 Apache有mod_wsgi和django,因为我可以使用django快速编写,而且我的需求很低。 它也可能有FreeRADIUS mod,但似乎有一些注意事项。 使用iptables在路由器上处理防火墙规则。 Webmin(或者一个自定义的django应用程序)可以抽象地控制员工可能需要访问的任何function。 Python,如果你还没有猜到它是我觉得最舒服的语言,我几乎可以用它来做任何事情。 最后,这是否已经完成,这是一个过于庞大的项目,不值得为一个人,还有一些我错过的工具,可以让我的生活更轻松? 为了logging,我对Python相当不错,但对许多其他语言不太熟悉(我可以通过PHP来努力,这是一个整体问题)。 我也是一个狂热的Linux用户,并且熟悉configuration文件和命令行。 感谢您的时间,我期待着您的回复。 编辑:我的道歉,如果这不是一个Q&A的意义,有些人期待,我只是在寻找的想法,并确保我没有试图做的事情已经完成。 我正在寻找pfSense作为我所需要的一个可能的开始。
我们将思科networking设备configuration为通过在具有networking保护angular色的Windows 2008R2服务器上运行的RADIUS,使用其域帐户对networkingpipe理员进行身份validation。 这对configuration设备时通过SSHlogin交换机非常有用。 我们现在正处于部署login智能卡的初始阶段。 有谁知道使用智能卡而不是域用户名和密码login思科交换机的方法吗? 我们使用的SSH客户端是Putty。 工作站是Windows 7. RADIUS在Windows 2008R2上运行。 我们在Windows 2008上运行我们自己的证书颁发机构; networking没有连接到互联网。 我们宁愿不必为此function购买额外的专有设备。
据我了解,EAP-TTLS和PEAP在无线networking中实施时具有相同的安全等级。 两者仅通过证书提供服务器端身份validation。 EAP-TTLS的缺点可能是Microsoft Windows的非本机支持,因此每个用户都必须安装其他软件。 EAP-TTLS的好处是可以支持安全性较低的authentication机制(PAP,CHAP,MS-CHAP),但为什么你需要它们在现代和安全的无线系统中呢? 你有什么意见? 我为什么要实现EAP-TTLS而不是PEAP? 假设我拥有大多数Windows用户,中等Linux用户以及最lessiOS,OSX用户。
我是南非一所高中的networkingpipe理员,在微软networking上运行。 校园周围约有150台电脑,其中至less有130台电脑连接到networking。 其余的是员工笔记本电脑。 所有IP地址都使用DHCP服务器分配。 目前,我们的Wi-Fi访问仅限于这些员工所在的几个地点。 我们正在使用WPA和长键,这对学生来说是不可用的。 据我所知,这个关键是安全的。 然而,使用RADIUS身份validation会更有意义,但是我在实践中遇到了一些问题。 将添加到域的机器是否会自动validation到Wi-Finetworking? 或者它是基于用户的? 它可以是两个吗? 如果使用RADIUS身份validation,像PSP / iPod touch / Blackberry / etc /等设备是否能够连接到WiFinetworking? 我想要这样的事情发生。 我有支持RADIUS身份validation的WAP。 我只需要从MS 2003服务器上打开RADIUSfunction。 鉴于移动设备的要求,使用俘虏门户会更好吗? 我从机场的经验知道它可以完成(如果设备有浏览器)。 这给我带来了关于圈养门户的问题: 我可以将强制门户限制为仅连接Wi-Fi的设备吗? 我不特别想为所有现有的networking机器设置MAC地址例外(据我所知,这只是增加了MAC地址欺骗的机会)。 这是怎么做的? 我有一个单独的WiFi接入设备的地址范围,然后两个networking之间的强制门户路线? 需要强调的是,WAP与其他不属于俘虏入口的机器共享一个物理networking。 您的经验和见解将不胜感激! 菲利普 编辑:为了更清楚一个圈养门户是否可行,我问了这个问题 。
我正在为〜150个用户build立一个无线networking。 总之,我正在寻找一个指南来设置RADIUS服务器来validation对LDAP的WPA2。 在Ubuntu上。 我有一个工作的LDAP,但由于它不是在生产中使用,它可以很容易地适应这个项目可能需要的任何变化。 我一直在看FreeRADIUS,但任何RADIUS服务器都可以。 我们为WiFi提供了一个单独的物理networking,因此对这个方面的安全性没有太多的担忧。 我们的AP是惠普的低端企业产品 – 他们似乎支持任何您能想到的事情。 所有的Ubuntu服务器,宝贝! 而坏消息是: 我现在有一个比我更less知识的人最终会接pipe行政,所以设置必须尽可能“微不足道”。 到目前为止,我们的设置仅基于Ubuntu存储库中的软件,除了我们的LDAPpipe理Web应用程序和一些小的特殊脚本。 因此,如果可以避免的话,不要“获取软件包X,解压缩./configure”。 更新2009-08-18: 虽然我find了一些有用的资源,但还有一个严重的障碍: Ignoring EAP-Type/tls because we do not have OpenSSL support. Ignoring EAP-Type/ttls because we do not have OpenSSL support. Ignoring EAP-Type/peap because we do not have OpenSSL support. 基本上FreeRADIUS的Ubuntu版本不支持SSL( 错误183840 ),这使得所有的安全EAPtypes无用。 游民。 但是对于任何感兴趣的人来说, http://vuksan.com/linux/dot1x/802-1x-LDAP.html http://tldp.org/HOWTO/html_single/8021X-HOWTO/#confradius 更新2009-08-19: 我昨天晚上编写了我自己的FreeRADIUS软件包 – 在http://www.linuxinsight.com/building-debian-freeradius-package-with-eap-tls-ttls-peap-support.html有一个非常好的配方(参见更新说明的post的评论)。 我从http://CACert.org获得证书(如果可能的话,你应该得到一个“真正的”证书) […]