Szia! "Dévay Gyula" <[EMAIL PROTECTED]> írta 2006-09-18 15:24-kor: > 2006. szeptember 18., 15:03:25, írtad: > > Indulasnak: > > http://www.linuxjournal.com/node/8095/print > > > Ez meg jobb es alaposabb szerintem: > > http://www.tldp.org/HOWTO/8021X-HOWTO/index.html > > Koszi. Az elvet ugy erzem mar ismerem. :-)) Mar csak gyakorlatba kell > atrakni. Van pl. olyan parancs, amivel lekerdezheto egy tavoli AP > radius konfihjahoz hasznalhato parancsokat? Tehat amivel megtudom, > hogy az AP-hez pl. hogyan kell a radiusban megadni a wep kulcsot. A kérdésekből még úgy tünik, hogy az elveket sem érted, de valahonnan el kell indulni ;-)
De ha a 802.1X howtot elolvasod, abból úgy emlékszem kiderülnek ilyen nyalánkságok pl. hogy ha wep+dinamikus kulcs (aka wpa legacy) vagy wpa-t használsz, az a gyakorlatban 128 bites wep rendszeres kulccserével, ami azért jó, mert mire a feltöréshez szükséges mennyiségű adatot lehallgatják, addigra a kliensnek már rég másik kulcsa lesz. Ehhez persze a WPA (enterprise) módot tudnia kell az AP-nek. Az se árt, ha tudja a legacy megfelelőjét, mert a winben alapból levő supplicant, csak ezt tudja. Rendesebb cuccokhoz a driverrel együtt jön olyan .dll, amivel már a beépített supplicant tudni fogja a wpa-t. Mellesleg, a tereléseket félretéve: ha 802.1X keretein belül EAP-oltatsz, akkor minden kliensednek egyedi wep kulcsa lesz, és nem feltétlenül kliens certificate varázslatokon keresztül azonosítja magát. Egy kattintás a wzc beállítófelületén a "Smart card or certificate" feliratot "PEAP"-ra áttenni, és mivel alapértelmezetten úgyis csak MSCHAPv2-t tud, az pont jó, mert ezt szinte minden radius szerver megérti, és mehet az auth user+pw párosok alapjan. Így belegondolva a mac engedélyezéssel kapcsolatban switch-ekre már láttam olyan featuret, hogy csak olyan mac addresst engedjen ip kommnikációra használni, ami az ipcímet dhcpvel kapta, és a dhcpben ez volt a válasz. (Természetesen dhcpzni engedi.) Így ha beteszel a hálózatoba egy dhcp szervert is, akkor megvan az a kontroll amit a vázoltakban szerettél volna. No, persze ez mint mondtam, switchre rémlik nekem, és nem AP-re... Bár, egy próbát az is megér, hogy pluszban még IP-t is visszaadni a radius attributumokban a válasznál. Fejből meg nem mondom neked melyikkel próbálkoznék, de kb. neked is annyi google-t behívni a böngésződbe, mint nekem ;-) Bár ez utóbbi már nagyban múlhat azon is, hogy milyen feature-oket tud az AP-d. Gyanítom a legtöbb AP már semilyen vsa-t nem tud értelmezni sem, bár az Framed-IP, vagy melyik attrib, pl. még nem VS. Ha jól emlékszem... Üdv:Gyur! -- -------[ Free Software ISOs - http://www.fsn.hu/?f=download ]------- -- PÁSZTOR György e-mail: [EMAIL PROTECTED] Free Software Network (FSN.HU) cell.: +3620 512 3335 _________________________________________________ linux lista - [email protected] http://mlf2.linux.rulez.org/mailman/listinfo/linux
