Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Následující verze | Předchozí verze | ||
cs:spravce:pripojovani:radius:freeradius3:jedno_ssid_vladne_vsem [2019/09/09 21:27] 127.0.0.1 upraveno mimo DokuWiki |
cs:spravce:pripojovani:radius:freeradius3:jedno_ssid_vladne_vsem [2019/09/18 12:48] pachs@cesnet.cz |
||
---|---|---|---|
Řádek 9: | Řádek 9: | ||
Komplikácie však vznikajú, ak sú definované viac ako 4 SSID na AP. A znásobuje sa s vyšším počtom AP na rovnakom kanále (čo je v pásme 2,4 GHz vcelku bežná záležitosť). Už pri 3 AP a 4 SSID stúpa tzv. overhead protokolu na hodnotu ~**39%** (!). Pri 4 AP je overhead už ~**52%** (!!!). To znamená, že viac ako polovica kapacity rádioveho kanálu je vyťažená tým, že AP vysielajú tzv. beacon pakety (paket, ktorý obsahuje informacie o príslušnom SSID). Ešte nebol prenesený žiaden payload (t.j. užitočné dáta) a polovica teoretickej kapacity kanálu je už vyčerpaná. | Komplikácie však vznikajú, ak sú definované viac ako 4 SSID na AP. A znásobuje sa s vyšším počtom AP na rovnakom kanále (čo je v pásme 2,4 GHz vcelku bežná záležitosť). Už pri 3 AP a 4 SSID stúpa tzv. overhead protokolu na hodnotu ~**39%** (!). Pri 4 AP je overhead už ~**52%** (!!!). To znamená, že viac ako polovica kapacity rádioveho kanálu je vyťažená tým, že AP vysielajú tzv. beacon pakety (paket, ktorý obsahuje informacie o príslušnom SSID). Ešte nebol prenesený žiaden payload (t.j. užitočné dáta) a polovica teoretickej kapacity kanálu je už vyčerpaná. | ||
- | Vysvetlenie tohto javu ako aj kalkulačka overheadu je papísaná na stránkach [[http://www.revolutionwifi.net/revolutionwifi/p/ssid-overhead-calculator.html|Revolution Wi-Fi]]. | + | Vysvetlenie tohto javu ako aj kalkulačka overheadu je popísaná na stránkach [[http://www.revolutionwifi.net/revolutionwifi/p/ssid-overhead-calculator.html|Revolution Wi-Fi]]. |
\\ \\ | \\ \\ | ||
- | {{ssid_overhead_excel.png?500|}} | + | {{ ssid_overhead_excel.png?500 |}} |
\\ \\ | \\ \\ | ||
Na tomto príklade je názorne vidieť, že __väčší počet AP v pokrývanej lokalite neznamená vždy vyššiu priepustnosť__. Je doležité pri návrhu siete zvážiť umiestnenie AP vzhľadom na požadované pokrytie priestoru, počet AP, využitie šírky pásma (napr. použitie 40 MHz kanálu v 2,4 GHz pásme je vyložene recept na problémy), množstvo SSID a ďaľšie parametre. Veľmi dobrým pomocníkom v tejto oblasti je napríklad [[https://www.ekahau.com/products/ekahau-site-survey/overview/|EKAHAU Site Survey]] . | Na tomto príklade je názorne vidieť, že __väčší počet AP v pokrývanej lokalite neznamená vždy vyššiu priepustnosť__. Je doležité pri návrhu siete zvážiť umiestnenie AP vzhľadom na požadované pokrytie priestoru, počet AP, využitie šírky pásma (napr. použitie 40 MHz kanálu v 2,4 GHz pásme je vyložene recept na problémy), množstvo SSID a ďaľšie parametre. Veľmi dobrým pomocníkom v tejto oblasti je napríklad [[https://www.ekahau.com/products/ekahau-site-survey/overview/|EKAHAU Site Survey]] . | ||
Řádek 33: | Řádek 33: | ||
* Upravte adresu servera a port, administrátorsky účet a base dn. Ak používate LDAPS, komunikačný port je 636. | * Upravte adresu servera a port, administrátorsky účet a base dn. Ak používate LDAPS, komunikačný port je 636. | ||
- | {{dynamic_vlan_1.png?500|}} | + | {{ dynamic_vlan_1.png?500 |}} |
\\ \\ | \\ \\ | ||
* Upravte search filter tak, aby to sedelo s príslušným parametrom vrámci AD.\\ \\ | * Upravte search filter tak, aby to sedelo s príslušným parametrom vrámci AD.\\ \\ | ||
- | {{dynamic_vlan_2.png?500|}} | + | {{ dynamic_vlan_2.png?500 |}} |
\\ \\ | \\ \\ | ||
Pôvodná hodnota: filter = "(**uid**=%{%{Stripped-User-Name}:-%{User-Name}})" \\ | Pôvodná hodnota: filter = "(**uid**=%{%{Stripped-User-Name}:-%{User-Name}})" \\ | ||
Řádek 48: | Řádek 48: | ||
Unable to chase referral "ldap://realm.cz/CN=Configuration,DC=realm,DC=cz" (-1: Can't contact LDAP server) | Unable to chase referral "ldap://realm.cz/CN=Configuration,DC=realm,DC=cz" (-1: Can't contact LDAP server) | ||
\\ \\ | \\ \\ | ||
- | {{dynamic_vlan_3.png?500|}} | + | {{ dynamic_vlan_3.png?500 |}} |
* Pridajte do /etc/freeradius/3.0/sites-enabled/inner-tunnel do časti **post-auth** nasledovné riadky za časť “ldap”: | * Pridajte do /etc/freeradius/3.0/sites-enabled/inner-tunnel do časti **post-auth** nasledovné riadky za časť “ldap”: | ||
Řádek 101: | Řádek 101: | ||
- | {{dynamic_vlan_4.png?500|}} | + | {{ dynamic_vlan_4.png?500 |}} |
Řádek 119: | Řádek 119: | ||
| | ||
- | {{dynamic_vlan_6.png?500|}} | + | {{ dynamic_vlan_6.png?500 |}} |
Řádek 125: | Řádek 125: | ||
V súbore /etc/freeradius/3.0/mods-enabled/**eap** v časti **peap** a **ttls** zmente položku “use_tunneled_reply = **no**” na “use_tunneled_reply = **yes**”. To zaistí, že sa informácie o VLANe prepíšu z inner-tunnel časti t.j. (EAP časť RADIUS paketu) do outer-tunnel časti paketu. Bez tejto úpravy neakceptuje Wi-Fi kontrolér požiadavok na priradenie užívateľa do príslušnej VLANy. | V súbore /etc/freeradius/3.0/mods-enabled/**eap** v časti **peap** a **ttls** zmente položku “use_tunneled_reply = **no**” na “use_tunneled_reply = **yes**”. To zaistí, že sa informácie o VLANe prepíšu z inner-tunnel časti t.j. (EAP časť RADIUS paketu) do outer-tunnel časti paketu. Bez tejto úpravy neakceptuje Wi-Fi kontrolér požiadavok na priradenie užívateľa do príslušnej VLANy. | ||
\\ \\ | \\ \\ | ||
- | {{dynamic_vlan_5.png?500|}} | + | {{ dynamic_vlan_5.png?500 |}} |
\\ \\ | \\ \\ | ||
* Po vykonaní príslušnej konfigurácie nieje potrebné, aby v /etc/freeradius/3.0/users boli nejaké záznamy. Je dokonca odporúčané, aby users neobsahovalo ďaľšie záznamy v prípade , ak sa použije zložitejšia časť konfigurácie FR (ako je napr. NTLM či LDAP). | * Po vykonaní príslušnej konfigurácie nieje potrebné, aby v /etc/freeradius/3.0/users boli nejaké záznamy. Je dokonca odporúčané, aby users neobsahovalo ďaľšie záznamy v prípade , ak sa použije zložitejšia časť konfigurácie FR (ako je napr. NTLM či LDAP). | ||
Řádek 131: | Řádek 131: | ||
* Zistenie “memberOf” je možné skrz JXplorer. | * Zistenie “memberOf” je možné skrz JXplorer. | ||
- | {{jxplorer_2.png?400|}} | + | {{ jxplorer_2.png?400 |}} |
* Príslušné identifikátory využijeme pre prideľovanie VLAN na základe group membership (viď konfigurácia vyššie). CN je užívateľské meno vrámci AD. V tomto prípade je použitý účet “eduroam.remote.check” pre ermon monitoring. Členstvo tohto účtu (t.j. položka “memberOf”) je “CN=eduroam.cesnet,CN=Users,DC=realm,DC=cz”. Tento reťazec použijte ako filtračný reťazec vrámci post-auth konfigurácie súboru /etc/freeradius/3.0/sites-enabled/inner-tunnel. Ak je užívateľ členom príslušnej skupiny, priradí sa mu príslušná VLANa. | * Príslušné identifikátory využijeme pre prideľovanie VLAN na základe group membership (viď konfigurácia vyššie). CN je užívateľské meno vrámci AD. V tomto prípade je použitý účet “eduroam.remote.check” pre ermon monitoring. Členstvo tohto účtu (t.j. položka “memberOf”) je “CN=eduroam.cesnet,CN=Users,DC=realm,DC=cz”. Tento reťazec použijte ako filtračný reťazec vrámci post-auth konfigurácie súboru /etc/freeradius/3.0/sites-enabled/inner-tunnel. Ak je užívateľ členom príslušnej skupiny, priradí sa mu príslušná VLANa. | ||
- | {{jxplorer.png?600|}} | + | {{ jxplorer.png?600 |}} |
\\ \\ | \\ \\ | ||
Po skončení konfigurácie /etc/freeradius/3.0/mods-available/ldap je **nutné spraviť symlink**, aby sa konfigurácia z mods-available využívala aj v mods-enabled:\\ | Po skončení konfigurácie /etc/freeradius/3.0/mods-available/ldap je **nutné spraviť symlink**, aby sa konfigurácia z mods-available využívala aj v mods-enabled:\\ | ||
Řádek 155: | Řádek 155: | ||
Tohto stavu dosiahneme skrz tzv. filtrovanie atribútov. V prvom kroku povolíme filtrovanie atribútov vrámci konfigurácie /etc/freeradius/3.0/sites-enabled/default a v časti post-proxy (t.j. odpoveď od RADIUS serveru domácej inštitúcie vzhľadom na overovaný účet) odstraníme mrežu pred parametrom “attr_filter.post-proxy”. \\ \\ | Tohto stavu dosiahneme skrz tzv. filtrovanie atribútov. V prvom kroku povolíme filtrovanie atribútov vrámci konfigurácie /etc/freeradius/3.0/sites-enabled/default a v časti post-proxy (t.j. odpoveď od RADIUS serveru domácej inštitúcie vzhľadom na overovaný účet) odstraníme mrežu pred parametrom “attr_filter.post-proxy”. \\ \\ | ||
- | {{attr_filtering_1.png?500|}} | + | {{ attr_filtering_1.png?500 |}} |
\\ \\ | \\ \\ | ||
Řádek 166: | Řádek 166: | ||
Pozor – posledný záznam vrámci tohto súboru MUSÍ byť bez čiarky na konci (!). | Pozor – posledný záznam vrámci tohto súboru MUSÍ byť bez čiarky na konci (!). | ||
\\ \\ | \\ \\ | ||
- | {{attr_filtering_2.png?500|}} | + | {{ attr_filtering_2.png?500 |}} |
\\ \\ | \\ \\ | ||
Řádek 181: | Řádek 181: | ||
(1234) Performing unfiltered search in "CN=eduroam.test.teacher,OU=Teacher,DC=realm,DC=cz", scope "base"\\ | (1234) Performing unfiltered search in "CN=eduroam.test.teacher,OU=Teacher,DC=realm,DC=cz", scope "base"\\ | ||
(1234) Waiting for search result...\\ | (1234) Waiting for search result...\\ | ||
- | (1234) **User found in group DN "cn=teacher,ou=Teacher,dc=realm,dc=cz".** Comparison between membership: dn, check: dn\\ | + | (1234) User found in group DN "cn=teacher,ou=Teacher,dc=realm,dc=cz". Comparison between membership: dn, check: dn\\ |
(1234) &Tunnel-Medium-Type := IEEE-802\\ | (1234) &Tunnel-Medium-Type := IEEE-802\\ | ||
(1234) &Tunnel-Type := VLAN\\ | (1234) &Tunnel-Type := VLAN\\ | ||
Řádek 196: | Řádek 196: | ||
(1234) User is not a member of "CN=eduroam.cesnet,CN=Users,DC=realm,DC=cz"\\ | (1234) User is not a member of "CN=eduroam.cesnet,CN=Users,DC=realm,DC=cz"\\ | ||
… | … | ||
- | (1234) **Login OK: [eduroam.test.teacher@realm.cz]** (from client localhost port 0 via TLS tunnel)\\ | + | (1234) Login OK: [eduroam.test.teacher@realm.cz] (from client localhost port 0 via TLS tunnel)\\ |
(1234) # Executing group from file /etc/freeradius/3.0/sites-enabled/default\\ | (1234) # Executing group from file /etc/freeradius/3.0/sites-enabled/default\\ | ||
(1234) Stripped-User-Name += "eduroam.test.teacher"\\ | (1234) Stripped-User-Name += "eduroam.test.teacher"\\ | ||
- | (1234) Tunnel-Medium-Type += **IEEE-802**\\ | + | (1234) Tunnel-Medium-Type += IEEE-802\\ |
- | (1234) Tunnel-Type += **VLAN**\\ | + | (1234) Tunnel-Type += VLAN\\ |
- | (1234) Tunnel-Private-Group-Id += **"20"**\\ | + | (1234) Tunnel-Private-Group-Id += "20"\\ |
</code> | </code> | ||
Řádek 208: | Řádek 208: | ||
- | --- //[[stano.pach@seznam.cz|Stanislav Pach]] 2019/08/26 10:32// | + | --- //[[stano.pach@seznam.cz|Stanislav Pach]] 2019/09/18 12:00// |