Re: Radius + AD autentikacio kerdes
2011.05.02. 13:38 keltezéssel, Fodor Zsolt írta: Üdv! Közönséges wifi cuccok esetében a RADIUS -os azonosítás azt jelenti, hogy minden laptopra kell tanusítványt telepíteni, ami wifi-n keresztül csatlakozik. Biztos? Mi számít közönségesnek? Nálam Ovislink, Netgear, US Robotics. Ha ezeknél bekapcsolom a RADIUS azonosítást akkor a windows minden esetben azt írja, hogy nincs megfelelő tanusítvány telepítve a kapcsolódáshoz. Ezek csak a standard 802.1x protokollt ismerik. Az azt jelenti hogy a Freeradius szerverben be kell élesíteni az EAP-TLS, és az EAP-TTLS modulokat is, amik alapból nincsenek benne a Freeradiusban. Csak szerver linuxban (pl: SLES) van benne gyárilag a freeradius az összes moduljával. Ahhoz amit írtál, hogy saját felhasználónévvel kapcsolódjanak a wifi -n ahhoz valami komolyabb wifi AP software kell, pl Mikrotik, DD-WRT. De ha ezek vannak, akkor akár hotspotot is lehet csinálni, ahol a RADIS az a windows szerver.. Péter Nem tudom, de SMC (kb. 5 éves) és TP-Link (aránylag új) routerek gyári firmware-t használva egy Freeradius szerverrel a háttérben ragyogóan dolgoznak. Nem is kell tanusítványt telepíteni ? Akkor mit csinál amikor kapcsolódik a wifihez? Bekér valamit passwordot, vagy csak simán kapcsolódik, ha bent van a MAC address a Radiusban? (Ilyet lehet DD-WRT -ből vagy Mikrotikból csinálni) Nekem sajnos mindíg tanusítványt kér, amikor a fenti AP -kkel próbálkozom. Valami olyan kell ami nem használ EAP-TLS, EAP-TTLS protokollt a RADIUS-nál.. ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Radius + AD autentikacio kerdes
Üdv! Közönséges wifi cuccok esetében a RADIUS -os azonosítás azt jelenti, hogy minden laptopra kell tanusítványt telepíteni, ami wifi-n keresztül csatlakozik. Biztos? Mi számít közönségesnek? Nálam Ovislink, Netgear, US Robotics. Ha ezeknél bekapcsolom a RADIUS azonosítást akkor a windows minden esetben azt írja, hogy nincs megfelelő tanusítvány telepítve a kapcsolódáshoz. Ezek csak a standard 802.1x protokollt ismerik. Az azt jelenti hogy a Freeradius szerverben be kell élesíteni az EAP-TLS, és az EAP-TTLS modulokat is, amik alapból nincsenek benne a Freeradiusban. Persze, Freeradiust valóban fordítani kellett, de ez szerver oldali művelet, nem pedig a kliens oldalán kell piszkálni. Nem is kell tanusítványt telepíteni ? Nem. Ez volt a cél. Akkor mit csinál amikor kapcsolódik a wifihez? Bekér valamit passwordot, vagy csak simán kapcsolódik, ha bent van a MAC address a Radiusban? Megadja azonosítóját és a választott jelszót és kész. (Mondjuk erre a célra külön jelszót kértem megadni.) (Ilyet lehet DD- WRT -ből vagy Mikrotikból csinálni) Nekem sajnos mindíg tanusítványt kér, amikor a fenti AP -kkel próbálkozom. Valami olyan kell ami nem használ EAP-TLS, EAP-TTLS protokollt a RADIUS-nál.. Ha klienst megfelelően állítja be a használó, nincs szükség tanúsítványra. (Nem vagyok benne profi, de küzdéssel és külső segítséggel összejött. De a probléma csak a szerver - freeradius - oldalon volt.) Üdv: Fodor Zsolt ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
RE: Radius + AD autentikacio kerdes
Kedves Kovács Marietta! Mielőtt nekilátnál RADIUS authentikációt készíteni érdemes kissé megnézni hogyan is működik a Windows 2008 R2 környezetben. A sok közül itt egy link a telepítéshez http://www.fatofthelan.com/technical/using-windows-2008-for-radius-authentication/ Először is szükséges egy AD tanúsítvány szolgáltatás megfelelően konfigurálva. Majd hálózati házirend-szolgáltató alatt üzemeltetett RADIUS ügyfelek és kiszolgálók szolgáltatás. A WiFi-n keresztül csatlakozó notebookoknak AD tartományi tagoknak kell lenni. A Hálózati házirendben tudtára kell adni a rendszernek azokat a számítógépeket és felhasználókat akik a WiFi-n keresztül fognak authentikálni. A belépéskor egy előhitelesítés fog lefutni, (ezért van szükség a gép nevének a megadására a hálózati házirendbe) ekkor megkapja az IP paramétereket és a tanúsítványt a notebook a WiFin keresztül. Utána történik a felhasználó azonosítása, ha ez sikeres akkor lesznek a felhasználó számára elérhetőek a hálózati erőforrások. Ha a felhasználónak korábban már létrejött a profilja a helyi számítógépen akkor a helyi gépről lehitelesíthet, ha nem érhető el a WiFi. Ha sikertelen az authentikáció lesz IP címe a gépnek (ha a gép neve engedélyezve van a hálózati házirendbe), de nem tud kommunikálni a WiFi eszközön keresztül a hálózattal. A Win7 esetén, ha a vezeték nélküli hálózat tulajdonságai speciális beállításainál az Azonnali végrehajtás a felhasználó bejelentkezése előtt kapcsolót bekacsolod akkor lehet belépni a hálózatba, ha elérhető a vezeték nélküli eszköz és rendben lefutott az authentikáció. Ellenkező esetben visszadobja a felhasználót. Ezt csak akkor célszerű bekapcsolni, ha nem viszik haza a gépet, vagy nem használják olyan helyen ahol nem érhető el a vezeték nélküli hálózat. Ha nem tagja a tartománynak akkor nem tud csatlakozni a WiFi hálózathoz, mert a tanúsítványt sem fogadja el ugyanis a tanúsítvány kötött az FQDN-hez. Remélem tudtam némi információt adni a kérdésedre. -- Molnár Géza Rendszergazda CCNA TMÖ Szent László TISZK Vályi Péter Szakképző Iskolai Tagintézménye 7090 Tamási, Deák Ferenc u. 6-8. e-mail: mol...@valyi.szltiszk.hu -Original Message- From: techinfo-bounces+molnar=valyip...@lista.sulinet.hu [mailto:techinfo-bounces+molnar=valyip...@lista.sulinet.hu] On Behalf Of Kovács Marietta Sent: Sunday, May 01, 2011 12:34 PM To: techinfo Subject: Radius + AD autentikacio kerdes Remélhetően nemsokára hozzánk is elér a TIOP. Mire felszerelik a WIFI-ket szeretném leváltani a mostani kissé elavult architektúrát. Amit szeretnék: adott x db, nem tartományi tag laptop, amelyről el kellene érni a vezetéknélküli eszközökön keresztül a hálózatot + y db tartományi user, saját fh névvel + jelszóval (Windows 2008 domain). Szeretném, hogy laptopokon a userek a saját fh nevükkel + jelszavukkal kapcsolódnának a vezetéknélküli hálózathoz (és persze szabályoznám, hogy ezt ki teheti meg). A leírások alapján ez az Enterprise mode of Wi-Fi Protected Access (WPA or WPA2) c. játék, de arra nézve nem találtam választ, hogy ez úgy is működik-e amikor a laptop maga nincs beléptetve a tartományba. Valakinek van ezzel kapcsolatban tapasztalata? Esetleg valami jó kis weblap leírással? ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Radius + AD autentikacio kerdes
2011.05.01. 12:34 keltezéssel, Kovács Marietta írta: Remélhetően nemsokára hozzánk is elér a TIOP. Mire felszerelik a WIFI-ket szeretném leváltani a mostani kissé elavult architektúrát. Amit szeretnék: adott x db, nem tartományi tag laptop, amelyről el kellene érni a vezetéknélküli eszközökön keresztül a hálózatot + y db tartományi user, saját fh névvel + jelszóval (Windows 2008 domain). Szeretném, hogy laptopokon a userek a saját fh nevükkel + jelszavukkal kapcsolódnának a vezetéknélküli hálózathoz (és persze szabályoznám, hogy ezt ki teheti meg). A leírások alapján ez az Enterprise mode of Wi-Fi Protected Access (WPA or WPA2) c. játék, de arra nézve nem találtam választ, hogy ez úgy is működik-e amikor a laptop maga nincs beléptetve a tartományba. Valakinek van ezzel kapcsolatban tapasztalata? Esetleg valami jó kis weblap leírással? Közönséges wifi cuccok esetében a RADIUS -os azonosítás azt jelenti, hogy minden laptopra kell tanusítványt telepíteni, ami wifi-n keresztül csatlakozik. Ezek a 802.1X protokollt ismerik csak, ami az IPSEC -hez hasonló protokoll wifi-s változata. Ez nyilván kényelmetlen, mert minden laptopra kell tanusítvány és okostelefonokról stb. nem is lehet majd használni. Ahhoz amit írtál, hogy saját felhasználónévvel kapcsolódjanak a wifi -n ahhoz valami komolyabb wifi AP software kell, pl Mikrotik, DD-WRT. De ha ezek vannak, akkor akár hotspotot is lehet csinálni, ahol a RADIS az a windows szerver.. Péter ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Radius + AD autentikacio kerdes
Üdv! Közönséges wifi cuccok esetében a RADIUS -os azonosítás azt jelenti, hogy minden laptopra kell tanusítványt telepíteni, ami wifi-n keresztül csatlakozik. Biztos? Mi számít közönségesnek? Ahhoz amit írtál, hogy saját felhasználónévvel kapcsolódjanak a wifi -n ahhoz valami komolyabb wifi AP software kell, pl Mikrotik, DD-WRT. De ha ezek vannak, akkor akár hotspotot is lehet csinálni, ahol a RADIS az a windows szerver.. Péter Nem tudom, de SMC (kb. 5 éves) és TP-Link (aránylag új) routerek gyári firmware-t használva egy Freeradius szerverrel a háttérben ragyogóan dolgoznak. (Vista, Win7, Android egyszerű, XP macerás, de ha valaki végigcsinálja, amit kell, menni szokott. Van egy-két érdekesebb oprendszeres mobiltelefon, amivel küzdenek a diákok, de az más kérdés.) Üdv: Fodor Zsolt ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Radius + AD autentikacio kerdes
Remélhetően nemsokára hozzánk is elér a TIOP. Mire felszerelik a WIFI-ket szeretném leváltani a mostani kissé elavult architektúrát. Amit szeretnék: adott x db, nem tartományi tag laptop, amelyről el kellene érni a vezetéknélküli eszközökön keresztül a hálózatot + y db tartományi user, saját fh névvel + jelszóval (Windows 2008 domain). Szeretném, hogy laptopokon a userek a saját fh nevükkel + jelszavukkal kapcsolódnának a vezetéknélküli hálózathoz (és persze szabályoznám, hogy ezt ki teheti meg). A leírások alapján ez az Enterprise mode of Wi-Fi Protected Access (WPA or WPA2) c. játék, de arra nézve nem találtam választ, hogy ez úgy is működik-e amikor a laptop maga nincs beléptetve a tartományba. Valakinek van ezzel kapcsolatban tapasztalata? Esetleg valami jó kis weblap leírással? ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
Re: Radius + AD autentikacio kerdes
Helló! Ilyen módban a wifi kliens egy usernevet is bekér, nem csak jelszót. Ez tök szabványos mód, nem csak a windows tudja, hanem más eszközök is (telefon, linux,, stb). Szóval mindenféle klienssel tudsz így csatlakozni. 2011/5/1 Kovács Marietta marg...@citromail.hu Remélhetően nemsokára hozzánk is elér a TIOP. Mire felszerelik a WIFI-ket szeretném leváltani a mostani kissé elavult architektúrát. Amit szeretnék: adott x db, nem tartományi tag laptop, amelyről el kellene érni a vezetéknélküli eszközökön keresztül a hálózatot + y db tartományi user, saját fh névvel + jelszóval (Windows 2008 domain). Szeretném, hogy laptopokon a userek a saját fh nevükkel + jelszavukkal kapcsolódnának a vezetéknélküli hálózathoz (és persze szabályoznám, hogy ezt ki teheti meg). A leírások alapján ez az Enterprise mode of Wi-Fi Protected Access (WPA or WPA2) c. játék, de arra nézve nem találtam választ, hogy ez úgy is működik-e amikor a laptop maga nincs beléptetve a tartományba. Valakinek van ezzel kapcsolatban tapasztalata? Esetleg valami jó kis weblap leírással? -- Köszönettel: Csárdi-Braunstein János ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/
RE: Radius + AD autentikacio kerdes
Szia, ha le akarom egyszerusiteni: a belso tartomanyod egy szinttel feljebb van. A WiFi-re kapcsolodas megfelel annak, mint ha a belso (Ethernet) halozati infrastrukturad jelszot kerne, hogy hasznalhasd az azon elerheto szolgaltatasokat. Vagy kepszerubb, ha megfelelteted a WiFi authentikaciot az Ethernet kabel UTP aljzatba valo csatlakoztatasanak. Erdekes kerdeseket vet fel a csak WiFis csatlakozas: ha csak radios osszekottetes van, hogyan tortenik a tartomanyi bejelentkezes? Szvsz ugy, hogy belepteti a usert a cache-bol (nem fut le a logon script, policy frissules, nem toltodik le a roaming profile, stb.), belep a user egy helyben tarolt profile-lal (ha nincs ilyen, akkor nem engedi belepni), majd a belepes utan authentikal a WiFi-n (=bedugta utolag az UTP csatlakozot!), es eleri a TCP/IP halozaton az authentikacio nelkul elerheto szolgaltatasokat (jellemzoen az Internet kapcsolatot). Minden mashoz (pl. desktop ikonhoz rendelt halozati mappa elereshez, stb.) utolagosan fog jelszot kerni. Ezert aztan nem latom ertelmet, hogy a routeren (dualisan az AD-vel) letrehozz einundzwanzig felhasznaloi nev/jelszo parost, hiszen elotte mar megtortenik a bejelentkezes. De, mivel nagy szamu jo megoldas van, lehet, hogy tevedek... Udv, AZ -Original Message- From: techinfo-bounces+sysadmin=rszi-zirc...@lista.sulinet.hu [mailto:techinfo-bounces+sysadmin=rszi-zirc...@lista.sulinet.hu] On Behalf Of Kovács Marietta Sent: Sunday, May 01, 2011 12:34 PM To: techinfo Subject: Radius + AD autentikacio kerdes Remélhetően nemsokára hozzánk is elér a TIOP. Mire felszerelik a WIFI-ket szeretném leváltani a mostani kissé elavult architektúrát. Amit szeretnék: adott x db, nem tartományi tag laptop, amelyről el kellene érni a vezetéknélküli eszközökön keresztül a hálózatot + y db tartományi user, saját fh névvel + jelszóval (Windows 2008 domain). Szeretném, hogy laptopokon a userek a saját fh nevükkel + jelszavukkal kapcsolódnának a vezetéknélküli hálózathoz (és persze szabályoznám, hogy ezt ki teheti meg). A leírások alapján ez az Enterprise mode of Wi-Fi Protected Access (WPA or WPA2) c. játék, de arra nézve nem találtam választ, hogy ez úgy is működik-e amikor a laptop maga nincs beléptetve a tartományba. Valakinek van ezzel kapcsolatban tapasztalata? Esetleg valami jó kis weblap leírással? ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://www.kozhaloportal.hu/gyik/altalanos/