Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze | ||
cs:spravce:pripojovani:radius:freeradius3:jedno_ssid_vladne_vsem [2019/09/18 11:58] pachs@cesnet.cz [Výpis z FR, ak správne funguje dynamické priraďovanie VLAN:] |
cs:spravce:pripojovani:radius:freeradius3:jedno_ssid_vladne_vsem [2019/09/18 12:48] pachs@cesnet.cz |
||
---|---|---|---|
Řádek 9: | Řádek 9: | ||
Komplikácie však vznikajú, ak sú definované viac ako 4 SSID na AP. A znásobuje sa s vyšším počtom AP na rovnakom kanále (čo je v pásme 2,4 GHz vcelku bežná záležitosť). Už pri 3 AP a 4 SSID stúpa tzv. overhead protokolu na hodnotu ~**39%** (!). Pri 4 AP je overhead už ~**52%** (!!!). To znamená, že viac ako polovica kapacity rádioveho kanálu je vyťažená tým, že AP vysielajú tzv. beacon pakety (paket, ktorý obsahuje informacie o príslušnom SSID). Ešte nebol prenesený žiaden payload (t.j. užitočné dáta) a polovica teoretickej kapacity kanálu je už vyčerpaná. | Komplikácie však vznikajú, ak sú definované viac ako 4 SSID na AP. A znásobuje sa s vyšším počtom AP na rovnakom kanále (čo je v pásme 2,4 GHz vcelku bežná záležitosť). Už pri 3 AP a 4 SSID stúpa tzv. overhead protokolu na hodnotu ~**39%** (!). Pri 4 AP je overhead už ~**52%** (!!!). To znamená, že viac ako polovica kapacity rádioveho kanálu je vyťažená tým, že AP vysielajú tzv. beacon pakety (paket, ktorý obsahuje informacie o príslušnom SSID). Ešte nebol prenesený žiaden payload (t.j. užitočné dáta) a polovica teoretickej kapacity kanálu je už vyčerpaná. | ||
- | Vysvetlenie tohto javu ako aj kalkulačka overheadu je papísaná na stránkach [[http://www.revolutionwifi.net/revolutionwifi/p/ssid-overhead-calculator.html|Revolution Wi-Fi]]. | + | Vysvetlenie tohto javu ako aj kalkulačka overheadu je popísaná na stránkach [[http://www.revolutionwifi.net/revolutionwifi/p/ssid-overhead-calculator.html|Revolution Wi-Fi]]. |
\\ \\ | \\ \\ | ||
- | {{ssid_overhead_excel.png?500|}} | + | {{ ssid_overhead_excel.png?500 |}} |
\\ \\ | \\ \\ | ||
Na tomto príklade je názorne vidieť, že __väčší počet AP v pokrývanej lokalite neznamená vždy vyššiu priepustnosť__. Je doležité pri návrhu siete zvážiť umiestnenie AP vzhľadom na požadované pokrytie priestoru, počet AP, využitie šírky pásma (napr. použitie 40 MHz kanálu v 2,4 GHz pásme je vyložene recept na problémy), množstvo SSID a ďaľšie parametre. Veľmi dobrým pomocníkom v tejto oblasti je napríklad [[https://www.ekahau.com/products/ekahau-site-survey/overview/|EKAHAU Site Survey]] . | Na tomto príklade je názorne vidieť, že __väčší počet AP v pokrývanej lokalite neznamená vždy vyššiu priepustnosť__. Je doležité pri návrhu siete zvážiť umiestnenie AP vzhľadom na požadované pokrytie priestoru, počet AP, využitie šírky pásma (napr. použitie 40 MHz kanálu v 2,4 GHz pásme je vyložene recept na problémy), množstvo SSID a ďaľšie parametre. Veľmi dobrým pomocníkom v tejto oblasti je napríklad [[https://www.ekahau.com/products/ekahau-site-survey/overview/|EKAHAU Site Survey]] . | ||
Řádek 33: | Řádek 33: | ||
* Upravte adresu servera a port, administrátorsky účet a base dn. Ak používate LDAPS, komunikačný port je 636. | * Upravte adresu servera a port, administrátorsky účet a base dn. Ak používate LDAPS, komunikačný port je 636. | ||
- | {{dynamic_vlan_1.png?500|}} | + | {{ dynamic_vlan_1.png?500 |}} |
\\ \\ | \\ \\ | ||
* Upravte search filter tak, aby to sedelo s príslušným parametrom vrámci AD.\\ \\ | * Upravte search filter tak, aby to sedelo s príslušným parametrom vrámci AD.\\ \\ | ||
- | {{dynamic_vlan_2.png?500|}} | + | {{ dynamic_vlan_2.png?500 |}} |
\\ \\ | \\ \\ | ||
Pôvodná hodnota: filter = "(**uid**=%{%{Stripped-User-Name}:-%{User-Name}})" \\ | Pôvodná hodnota: filter = "(**uid**=%{%{Stripped-User-Name}:-%{User-Name}})" \\ | ||
Řádek 48: | Řádek 48: | ||
Unable to chase referral "ldap://realm.cz/CN=Configuration,DC=realm,DC=cz" (-1: Can't contact LDAP server) | Unable to chase referral "ldap://realm.cz/CN=Configuration,DC=realm,DC=cz" (-1: Can't contact LDAP server) | ||
\\ \\ | \\ \\ | ||
- | {{dynamic_vlan_3.png?500|}} | + | {{ dynamic_vlan_3.png?500 |}} |
* Pridajte do /etc/freeradius/3.0/sites-enabled/inner-tunnel do časti **post-auth** nasledovné riadky za časť “ldap”: | * Pridajte do /etc/freeradius/3.0/sites-enabled/inner-tunnel do časti **post-auth** nasledovné riadky za časť “ldap”: | ||
Řádek 101: | Řádek 101: | ||
- | {{dynamic_vlan_4.png?500|}} | + | {{ dynamic_vlan_4.png?500 |}} |
Řádek 119: | Řádek 119: | ||
| | ||
- | {{dynamic_vlan_6.png?500|}} | + | {{ dynamic_vlan_6.png?500 |}} |
Řádek 125: | Řádek 125: | ||
V súbore /etc/freeradius/3.0/mods-enabled/**eap** v časti **peap** a **ttls** zmente položku “use_tunneled_reply = **no**” na “use_tunneled_reply = **yes**”. To zaistí, že sa informácie o VLANe prepíšu z inner-tunnel časti t.j. (EAP časť RADIUS paketu) do outer-tunnel časti paketu. Bez tejto úpravy neakceptuje Wi-Fi kontrolér požiadavok na priradenie užívateľa do príslušnej VLANy. | V súbore /etc/freeradius/3.0/mods-enabled/**eap** v časti **peap** a **ttls** zmente položku “use_tunneled_reply = **no**” na “use_tunneled_reply = **yes**”. To zaistí, že sa informácie o VLANe prepíšu z inner-tunnel časti t.j. (EAP časť RADIUS paketu) do outer-tunnel časti paketu. Bez tejto úpravy neakceptuje Wi-Fi kontrolér požiadavok na priradenie užívateľa do príslušnej VLANy. | ||
\\ \\ | \\ \\ | ||
- | {{dynamic_vlan_5.png?500|}} | + | {{ dynamic_vlan_5.png?500 |}} |
\\ \\ | \\ \\ | ||
* Po vykonaní príslušnej konfigurácie nieje potrebné, aby v /etc/freeradius/3.0/users boli nejaké záznamy. Je dokonca odporúčané, aby users neobsahovalo ďaľšie záznamy v prípade , ak sa použije zložitejšia časť konfigurácie FR (ako je napr. NTLM či LDAP). | * Po vykonaní príslušnej konfigurácie nieje potrebné, aby v /etc/freeradius/3.0/users boli nejaké záznamy. Je dokonca odporúčané, aby users neobsahovalo ďaľšie záznamy v prípade , ak sa použije zložitejšia časť konfigurácie FR (ako je napr. NTLM či LDAP). | ||
Řádek 131: | Řádek 131: | ||
* Zistenie “memberOf” je možné skrz JXplorer. | * Zistenie “memberOf” je možné skrz JXplorer. | ||
- | {{jxplorer_2.png?400|}} | + | {{ jxplorer_2.png?400 |}} |
* Príslušné identifikátory využijeme pre prideľovanie VLAN na základe group membership (viď konfigurácia vyššie). CN je užívateľské meno vrámci AD. V tomto prípade je použitý účet “eduroam.remote.check” pre ermon monitoring. Členstvo tohto účtu (t.j. položka “memberOf”) je “CN=eduroam.cesnet,CN=Users,DC=realm,DC=cz”. Tento reťazec použijte ako filtračný reťazec vrámci post-auth konfigurácie súboru /etc/freeradius/3.0/sites-enabled/inner-tunnel. Ak je užívateľ členom príslušnej skupiny, priradí sa mu príslušná VLANa. | * Príslušné identifikátory využijeme pre prideľovanie VLAN na základe group membership (viď konfigurácia vyššie). CN je užívateľské meno vrámci AD. V tomto prípade je použitý účet “eduroam.remote.check” pre ermon monitoring. Členstvo tohto účtu (t.j. položka “memberOf”) je “CN=eduroam.cesnet,CN=Users,DC=realm,DC=cz”. Tento reťazec použijte ako filtračný reťazec vrámci post-auth konfigurácie súboru /etc/freeradius/3.0/sites-enabled/inner-tunnel. Ak je užívateľ členom príslušnej skupiny, priradí sa mu príslušná VLANa. | ||
- | {{jxplorer.png?600|}} | + | {{ jxplorer.png?600 |}} |
\\ \\ | \\ \\ | ||
Po skončení konfigurácie /etc/freeradius/3.0/mods-available/ldap je **nutné spraviť symlink**, aby sa konfigurácia z mods-available využívala aj v mods-enabled:\\ | Po skončení konfigurácie /etc/freeradius/3.0/mods-available/ldap je **nutné spraviť symlink**, aby sa konfigurácia z mods-available využívala aj v mods-enabled:\\ | ||
Řádek 155: | Řádek 155: | ||
Tohto stavu dosiahneme skrz tzv. filtrovanie atribútov. V prvom kroku povolíme filtrovanie atribútov vrámci konfigurácie /etc/freeradius/3.0/sites-enabled/default a v časti post-proxy (t.j. odpoveď od RADIUS serveru domácej inštitúcie vzhľadom na overovaný účet) odstraníme mrežu pred parametrom “attr_filter.post-proxy”. \\ \\ | Tohto stavu dosiahneme skrz tzv. filtrovanie atribútov. V prvom kroku povolíme filtrovanie atribútov vrámci konfigurácie /etc/freeradius/3.0/sites-enabled/default a v časti post-proxy (t.j. odpoveď od RADIUS serveru domácej inštitúcie vzhľadom na overovaný účet) odstraníme mrežu pred parametrom “attr_filter.post-proxy”. \\ \\ | ||
- | {{attr_filtering_1.png?500|}} | + | {{ attr_filtering_1.png?500 |}} |
\\ \\ | \\ \\ | ||
Řádek 166: | Řádek 166: | ||
Pozor – posledný záznam vrámci tohto súboru MUSÍ byť bez čiarky na konci (!). | Pozor – posledný záznam vrámci tohto súboru MUSÍ byť bez čiarky na konci (!). | ||
\\ \\ | \\ \\ | ||
- | {{attr_filtering_2.png?500|}} | + | {{ attr_filtering_2.png?500 |}} |
\\ \\ | \\ \\ | ||