2 votes

CoolGravatar avatar

Authentifier l'accès sans fil via un serveur http

Demandé el 19 de Novembre, 2009
Quand la question a-t-elle été
410 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je suis l'administrateur d'un réseau sans fil ... mais comme la plupart des gens ne sont pas des experts, il semble y avoir un problème général pour s'y connecter ... comme nous utilisons WPA Enterprise, donc sur les plateformes Windows, il y a quelques étapes communes qui doivent être utilisées pour que cela fonctionne. Mais les utilisateurs sont stupides.

Dans de nombreux endroits, il existe une sorte d'opennet, où vous pouvez simplement vous connecter... mais lorsque vous essayez d'accéder à des sites qui ne figurent pas dans une sorte de liste interne, vous êtes redirigé vers une page de connexion sur un serveur web, et après vous être authentifié, vous pouvez naviguer sur Internet.

Comment cela se passe-t-il ? Des conseils ? Linux ? Windows ? Un matériel spécial ou un pare-feu ?

Liens, infos ... tous sont les bienvenus.

Demandé el 19 de Novembre, 2009 par CoolGravatar

Réponses

Trop de publicités?

2voto

Berserk avatar
Berserk Points 297

Voici comment cela se passe là où je travaille (notre responsable réseau pourrait sans doute en dire plus) :

Lorsque vous vous connectez au réseau WL ouvert, vous vous trouvez sur le 1er vLAN public qui redirige (via Calamar ) tout le trafic vers notre page d'authentification. L'authentification (via kerberos) place l'utilisateur sur le 2ème VLAN qui a un accès illimité.

Je suis un peu gris sur certains détails, mais je suis sûr que quelqu'un d'autre comblera les lacunes.

Répondu el 19 de Novembre, 2009 par Berserk (297 Points )

0voto

Dave avatar
Dave Points 864

Dans une autre vie, j'ai écrit exactement un tel mécanisme. Un petit pare-feu ici, un serveur web là, quelques trucs entre les deux pour activer et désactiver le pare-feu pour une adresse IP donnée, et une règle par défaut qui redirige tout le trafic du port 80 vers un serveur web qui a la page de connexion. Facile comme bonjour ? Pas vraiment.

Tout d'abord, vous pouvez essayer de regarder nocat un projet open source pour faire ce genre de choses.

N'essayez pas de le faire (d'écrire un mécanisme d'authentification sans fil via un portail captif) vous-même. C'est un court chemin vers la folie.

La façon la plus simple de le faire vous-même est d'utiliser deux ensembles de points d'accès (s'il s'agit de points d'accès grand public bon marché, sans plan, avec un seul ssid). Un ensemble de points d'accès est sur un réseau privé avec un serveur web, un serveur DHCP et un serveur DNS qui répond avec l'adresse IP du serveur web pour toutes les recherches DNS. Quelqu'un cherche google.com ? Il obtient 192.168.66.6. Ils recherchent snoopy.com ? 192.168.66.6. Ils cherchent bobsyeruncle.net ? 192.168.66.6. Et sur ce serveur web, vous mettez une page web qui dit "Bienvenue à (insérer la société ici)." "Si vous voulez utiliser le réseau sans fil, changez votre ssid en "securenet", configurez-le en "WPA2" et "eap-ttls" (ou tout autre protocole d'authentification sans fil que vous utilisez).

Les autres points d'accès seront, bien entendu, connectés à l'interface "sans fil" de votre pare-feu et autoriseront tout accès que vous jugerez approprié pour l'accès au réseau sans fil sur votre site.

Oh -- attends -- tu n'utilises pas de clé pré-partagée, n'est-ce pas ? Si c'est le cas, vous n'avez pas vraiment de sécurité sans fil du tout. Une fois que je connais la clé, je peux espionner le trafic de tout le monde. Même les points d'accès grand public de nos jours supportent WPA-enterprise et radius, et vous pouvez utiliser le serveur radius de Windows pour que l'authentification sans fil fonctionne correctement.

Pour cette leçon, vous devrez mettre une autre pièce dans la machine et poser une autre question...

Répondu el 19 de Novembre, 2009 par Dave (864 Points )

0voto

Max Alginin avatar
Max Alginin Points 3284

Si vous êtes ouvert aux solutions commerciales, Produits sans fil Cisco peut faire exactement cela. Vous achetez un certain nombre de points d'accès Aironet légers (suffisamment pour couvrir l'espace physique), un contrôleur LAN sans fil pour les gérer et vous configurez l'authentification Web sur le contrôleur.

Votre dépense est de 500 $/AP plus 2 à 5 000 $ pour le contrôleur (selon le nombre d'AP que vous devez gérer).

Cependant, je dois dire ici que l'authentification d'entreprise correctement exécutée ne nécessite aucune étape du côté client. Cela fonctionne tout simplement. Prenez AD, RADIUS, le même contrôleur sans fil pour gérer le réseau, transmettez la GPO correcte aux clients et, comme par magie ! - tout le monde est sur le réseau sans fil, authentifié de manière transparente avec ses informations d'identification AD. Vous pouvez ensuite utiliser Web Auth pour l'accès des invités, comme il se doit.

Répondu el 19 de Novembre, 2009 par Max Alginin (3284 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X