Аутентификация 802.1x для Wi-Fi и Ethernet через radius
Как настроить radius было рассказано в предыдущей статье. Здесь я покажу, что поправить в его настройках для 802.1x с EAP, как настроить точку доступа Wi-Fi на примере прошивки dd-wrt, и как настроить свитч на примере HP V1910.
802.1 работает на канальном уровне и определяет протокол контроля доступа и аутентификации, который ограничивает права неавторизованных конечных устройчтв, подключенных к коммутатору или точке доступа Wi-Fi. Наибольшее распространение протокол получил в беспроводных сетях.
Достаточно удобно с его помошью разграничевать доступ для конечных пользователей к точке(ам) доступа, добавляя и удаляя пользователей при необходимости.
В первую очередь в radius надо включить EAP:
в файле /etc/raddb/sites-enabled/default
в секции authorize
eap {
ok = return
}
в секции authenticate
eap
в секции post-proxy
eap
в файле /etc/raddb/eap.conf
default_eap_type = md5
или
default_eap_type = peap
во втором случае, надо добавить/раскомментировать еще и
в секции peap
default_eap_type = mschapv2
для того чтобы все это работало с sql надо еще в файле /etc/raddb/sites-enabled/inner-tunnel раскомментировать строки
sql
далее, нам необходимо добавить юзера(ов) в таблицу radcheck , который(е) будут подключаться используя 802.1x:
mysql> INSERT INTO radcheck (username,attribute,op,value) values ('wifiuser','User-Password','==','wifipass');
проверяем:
mysql> select * from radcheck;
+----+----------+---------------+----+----------+ | id | username | attribute | op | value | +----+----------+---------------+----+----------+ | 1 | wifiuser | User-Password | == | wifipass | +----+----------+---------------+----+----------+
С radius закончено, переходим к настройкам точки доступа. Собственно все понятно из картинки. Прописываем ip radius-сервера, порт и секретную фразу. Применяем. Пытаемся подключиться к точке доступа по Wi-Fi, и видем что нас спрашивает не просто PresharedKey, а логин и пароль. Вводим прописанные нами логин и пароль (wifiuser и wifipass) и успешно подключаемся к точке доступа.
Как это выглядит на примере android и iphone, видно на картинках:


То же самое мы можем проделать на свитче с поддержкой 802.1x , на картинках ниже показано как это выглядит.
Настраивам radius:
Настраиваем аутентификация на нужном порту:
Включаем аутентификация:
При соединении к Ethernet-порту компьютер спросит логин и пароль. Если этого не произошло, необходимо включить поддержку 802.1x на сетевой карте. Ниже, на картинке, это видно на примере OS X:
Linux с NetworkManager:
и Windows:
Для Windows необходимо что-бы была запущена служба Wired Autoconfig
Стоит отметить, что здесь рассмотрена только аутентификация (Authentication), происходит только проверка по логину и паролю, дальнейшие действия клиента не учитываются. Если включить настройку Re-Authentication, и указать интервал времени, то девайс он будет проверять аутентификация через указанные промежутки времени, и отключит клиента если его удалили или поменяли ему пароль.
Вот и все.
Удачи в настройках.
© shadow_alone