我正在为学生宿舍创build一个ISP。 局域网已经在那里工作,有几台CISCO交换机。 我想通过安全和自动的方式提供互联网给那些支付(每月)的人。 在不久的将来,也可能会有一个接入点(CISCO)在一个“不太私人的”地方(主要是学生,但他们可能不住在这个住所)连接到networking,所以连接必须是担保和限制在居民(只有付费用户无线接入networking是可以接受的)。 这是我的愿望: login应该是直截了当的,并适应一个不断变化的社区(每年150-200个class次/到达) 在订阅结束后自动断开用户与Internet的连接(他仍然可以使用LAN) Internet网关的pipe理界面(带宽,连接用户…) 强制门户(或其他)解释如何订阅非付费用户想访问互联网 然而,我有一个很大的限制:人们(付费用户)不得不能够在他们之间进行通信(同一个VLAN)。 对于1.我认为802.1x PEAP是正确的解决scheme,它使用服务器上的证书和客户端部分只有用户名/密码。 我不必把证书放在每个设备上。 对于2.我正在考虑从LDAP radiusProfile objectClass使用“过期”,并在用户订阅时更新此值。 对于3.和4.解决scheme之一可能是pfSense。 由于802.1x和用户在同一局域网上的限制,还有另外一种可能性,使得非付费用户有一个RADIUS“用户帐户”? 我假设不是。 据我所知,在networking设备(AP或交换机)上configuration了802.1x,并直接与RADIUS服务器进行通信,因此pfSense如何知道用户何时在其中一个networking设备上进行身份validation,以便绕过强制门户? 我不希望我的用户必须login他们的设备,并再次在强制门户网站上login,它必须是透明的。 下面是我看到的实现: User NP: non-paying user = access to LAN but not to Internet; access to captive portal when asking for Internet; User P: paying user = access to LAN and Internet until suscription expires; […]
我遇到NPS连接策略与转发的RADIUS请求相结合的问题 – 连接策略似乎没有被评估? 我们的域名有几个单向信任。 我有一个networking策略,指出只有给定(域本地)安全组的成员才能连接。 然后,我有几个连接请求策略转发到远程域中的NPS服务器,用户名为DOMAIN-NAME\\.+ 。 转发工作正常,但似乎没有评估组成员部分? 它适用于本地OPS领域的用户,但对于所有其他人只需拥有有效凭证就足够了。 我尝试设置“忽略用户帐户拨入属性”,因为它在其他地方被build议,但它似乎没有任何区别。
我在交换机上configuration了RADIUS,如下所示: aaa new-model ! aaa authentication login default group radius local aaa authorization exec default group radius local ! radius-server host 172.16.1.20 auth-port 1812 acct-port 1813 radius-server key sokootsk ! line vty 0 30 login authentication default ! username mbazgir secret 5 $1$cKA6$xxxxxxxxxxxxx 当试图通过telnet从我的服务器上的用户 login到交换机时 ,它已成功完成,但是当我使用本地用户 (mbazgir)login通过其控制台切换而RADIUS服务器 不可访问时 ,logging失败,开关重放“validation失败”。 为什么失败? 如何解决?
我有以下情况: network1 – gate – network2 network2有几个服务。 network1有很多开发者。 我需要从开发者访问分离访问的服务,例如: dev1应该可以访问host1和host2上的debugging端口, dev2应该有权访问host1和host3和host4上的debugging门户 dev3应该可以访问dev3上的http,debug和jmx端口 所以我需要一个authentication和授权系统为不同的服务。 HAProxy可以在TCP层面上工作,所以我需要在AA系统中,我认为radius应该没问题。 是否有可能连接半径haproxy和访问我想如何使他们?
我们运行了一个思科WiFinetworking,该networking使用802.1x对Active Directory进行身份validationlogin。 员工使用他们的UPN前缀login,并且一切正常。 出于各种原因,我们希望用户能够使用他们的电子邮件地址(存储在mail属性中)来login。 这没有映射到完整的UPN(后缀是不同的,我们的用户来自许多不同的电子邮件域)。 与其使用firstname.lastname (与firstname.lastname的UPN匹配,我们希望他们使用[email protected]或他们的电子邮件地址实际上是这样) [email protected] 。 我们目前使用微软NPS,并configuration我们的思科WLC作为RADIUS身份validation服务器。 有没有办法将NPS更改为基于不同的AD / LDAP属性而不是只有sAMAccountName / UPN的身份validation用户?
我正在使用mod_auth_radius与apache2.2 以下是网站部分中的相关configuration: <IfModule radius_auth_module> AddRadiusAuth localhost:1812 test 5:3 AddRadiusCookieValid 5 </IfModule> <Location /> AuthType Basic AuthName "RADIUS" AuthBasicProvider radius AuthRadiusCookieValid 5 AuthRadiusActive On require valid-user </Location> 身份validation本身正在工作,但与Chrome浏览器不断要求用户名,并通过每一页(例如,我点击一个菜单,它要求auth再次…)。 使用Firefox 1的开始就足够了。 有没有人遇到这个问题?
我们有一个基于Ruckus无线的系统,连接到Windows 2012R2 NPS服务器进行RADIUS身份validation。 我们长期以来一直存在单点login不可靠的问题,所以我们设置了一个(隐藏的)SSID,它使用对RADIUS服务器的机器authentication在login屏幕上连接到wifi; 该连接然后在login后切换到(更高优先级)标准用户authentication连接。 约有50%的案例正在运作。 在一个成功的testing中,机器将启动,并立即连接到隐藏的“preauth”networking。 login会很快发生,然后连接将切换到优先级较高的networking。 在失败的testing中,networking将不会自动连接。 手动点击'preauth'networking旁边的“连接”button时会连接,但自动连接失败。 我不确定在这个阶段看什么。 计算机本身似乎没有太多的日志方式来说明为什么发生故障 – 这更像是没有任何尝试,而不是以任何方式失败。 有没有人有可靠的Windows机器,在login之前自动连接?
我在公共可访问的端口(会议室等)上使用RADIUS进行端口安全。我们有HP Procurve交换机,Aruba Clearpass正在处理身份validation请求(在后端使用Active Directory数据中心)。 它被设置为默认为来宾VLAN(没有路由到我们的生产VLAN,只有互联网),然后切换到成功的ADauthentication生产VLAN。 在会议室我们有固定的笔记本电脑,目前我遇到的一个问题是,当笔记本电脑退出的时间超过了“不正常”时间(60秒)时,他们会被踢回来。 那么当前没有在这些便携式计算机上caching凭据的用户无法在DC上login笔记本电脑。 我不知道如何解决这个问题。 我默默地给一个DC在Guest VLAN中的一个接口,因为我不确定安全性的影响。 我还能做什么?
我有一个与MySQL工作的RADIUS服务器,我使用这个RADIUS为2个不同的服务的AAA, Service1使用Auth-Type作为“PAP”,Service2使用“EAP” radcheck table +—–+———-+——————–+—-+————–+ | id | username | attribute | op | value | +—–+———-+——————–+—-+————–+ | 474 | varun | Cleartext-Password | := | sunshine3003 | +—–+———-+——————–+—-+————–+ radreply table +—-+———-+————–+—-+——-+ | id | username | attribute | op | value | +—-+———-+————–+—-+——-+ | 1 | varun | Fall-Through | = | Yes | […]
我正在寻找思科无线局域网控制器的configuration示例,结合杜邦钢带半径设备(以前由Juniper收购的funk制造)。 它在cisco wlan控制器软件的发行说明中指出,该产品已经通过了Funk Steel-Belted RADIUS版本4.4.137的testing,但是我无法find任何有关如何实施的信息。