Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revize Předchozí verze
cs:spravce:pripojovani:radius:freeradius3:jedno_ssid_vladne_vsem [2019/09/18 10:01] pachs@cesnet.czcs:spravce:pripojovani:radius:freeradius3:jedno_ssid_vladne_vsem [2019/09/18 10:48] (aktuální) pachs@cesnet.cz
Řádek 11: Řádek 11:
 Vysvetlenie tohto javu ako aj kalkulačka overheadu je popísaná na stránkach [[http://www.revolutionwifi.net/revolutionwifi/p/ssid-overhead-calculator.html|Revolution Wi-Fi]].  Vysvetlenie tohto javu ako aj kalkulačka overheadu je popísaná na stránkach [[http://www.revolutionwifi.net/revolutionwifi/p/ssid-overhead-calculator.html|Revolution Wi-Fi]]. 
 \\ \\ \\ \\
-{{ssid_overhead_excel.png?500|}}+{{ ssid_overhead_excel.png?500 |}}
 \\ \\ \\ \\
 Na tomto príklade je názorne vidieť, že __väčší počet AP v pokrývanej lokalite neznamená vždy vyššiu priepustnosť__. Je doležité pri návrhu siete zvážiť umiestnenie AP vzhľadom na požadované pokrytie priestoru, počet AP, využitie šírky pásma (napr. použitie 40 MHz kanálu v 2,4 GHz pásme je vyložene recept na problémy), množstvo SSID a ďaľšie parametre. Veľmi dobrým pomocníkom v tejto oblasti je napríklad [[https://www.ekahau.com/products/ekahau-site-survey/overview/|EKAHAU Site Survey]] .  Na tomto príklade je názorne vidieť, že __väčší počet AP v pokrývanej lokalite neznamená vždy vyššiu priepustnosť__. Je doležité pri návrhu siete zvážiť umiestnenie AP vzhľadom na požadované pokrytie priestoru, počet AP, využitie šírky pásma (napr. použitie 40 MHz kanálu v 2,4 GHz pásme je vyložene recept na problémy), množstvo SSID a ďaľšie parametre. Veľmi dobrým pomocníkom v tejto oblasti je napríklad [[https://www.ekahau.com/products/ekahau-site-survey/overview/|EKAHAU Site Survey]] . 
Řádek 33: Řádek 33:
  
   * Upravte adresu servera a port, administrátorsky účet a base dn. Ak používate LDAPS, komunikačný port je 636.   * Upravte adresu servera a port, administrátorsky účet a base dn. Ak používate LDAPS, komunikačný port je 636.
- {{dynamic_vlan_1.png?500|}}+ {{ dynamic_vlan_1.png?500 |}}
 \\ \\ \\ \\
   * Upravte search filter tak, aby to sedelo s príslušným parametrom vrámci AD.\\ \\   * Upravte search filter tak, aby to sedelo s príslušným parametrom vrámci AD.\\ \\
-{{dynamic_vlan_2.png?500|}}+{{ dynamic_vlan_2.png?500 |}}
 \\ \\ \\ \\
 Pôvodná hodnota: filter = "(**uid**=%{%{Stripped-User-Name}:-%{User-Name}})" \\ Pôvodná hodnota: filter = "(**uid**=%{%{Stripped-User-Name}:-%{User-Name}})" \\
Řádek 48: Řádek 48:
 Unable to chase referral "ldap://realm.cz/CN=Configuration,DC=realm,DC=cz" (-1: Can't contact LDAP server) Unable to chase referral "ldap://realm.cz/CN=Configuration,DC=realm,DC=cz" (-1: Can't contact LDAP server)
 \\ \\ \\ \\
-{{dynamic_vlan_3.png?500|}}+{{ dynamic_vlan_3.png?500 |}}
  
   * Pridajte do /etc/freeradius/3.0/sites-enabled/inner-tunnel do časti **post-auth** nasledovné riadky za  časť “ldap”:   * Pridajte do /etc/freeradius/3.0/sites-enabled/inner-tunnel do časti **post-auth** nasledovné riadky za  časť “ldap”:
Řádek 101: Řádek 101:
  
  
-{{dynamic_vlan_4.png?500|}}+{{ dynamic_vlan_4.png?500 |}}
  
  
Řádek 119: Řádek 119:
  
              
-{{dynamic_vlan_6.png?500|}}+{{ dynamic_vlan_6.png?500 |}}
  
  
Řádek 125: Řádek 125:
 V súbore /etc/freeradius/3.0/mods-enabled/**eap** v časti **peap** a **ttls** zmente  položku “use_tunneled_reply = **no**”  na “use_tunneled_reply = **yes**”. To zaistí, že sa informácie o VLANe prepíšu z inner-tunnel časti t.j. (EAP časť RADIUS paketu) do outer-tunnel časti paketu. Bez tejto úpravy neakceptuje Wi-Fi kontrolér požiadavok na priradenie užívateľa do príslušnej VLANy. V súbore /etc/freeradius/3.0/mods-enabled/**eap** v časti **peap** a **ttls** zmente  položku “use_tunneled_reply = **no**”  na “use_tunneled_reply = **yes**”. To zaistí, že sa informácie o VLANe prepíšu z inner-tunnel časti t.j. (EAP časť RADIUS paketu) do outer-tunnel časti paketu. Bez tejto úpravy neakceptuje Wi-Fi kontrolér požiadavok na priradenie užívateľa do príslušnej VLANy.
 \\ \\ \\ \\
-{{dynamic_vlan_5.png?500|}}+{{ dynamic_vlan_5.png?500 |}}
 \\ \\ \\ \\
   * Po vykonaní príslušnej konfigurácie nieje potrebné, aby v  /etc/freeradius/3.0/users boli nejaké záznamy. Je dokonca odporúčané, aby users neobsahovalo ďaľšie záznamy v prípade , ak sa použije zložitejšia časť konfigurácie FR (ako je napr. NTLM či LDAP).   * Po vykonaní príslušnej konfigurácie nieje potrebné, aby v  /etc/freeradius/3.0/users boli nejaké záznamy. Je dokonca odporúčané, aby users neobsahovalo ďaľšie záznamy v prípade , ak sa použije zložitejšia časť konfigurácie FR (ako je napr. NTLM či LDAP).
Řádek 131: Řádek 131:
   * Zistenie “memberOf” je možné skrz  JXplorer.      * Zistenie “memberOf” je možné skrz  JXplorer.   
  
-{{jxplorer_2.png?400|}}+{{ jxplorer_2.png?400 |}}
  
   * Príslušné identifikátory využijeme pre prideľovanie VLAN na základe group membership (viď konfigurácia vyššie). CN je užívateľské meno vrámci AD. V tomto prípade je použitý účet “eduroam.remote.check” pre ermon monitoring. Členstvo tohto účtu (t.j. položka “memberOf”) je “CN=eduroam.cesnet,CN=Users,DC=realm,DC=cz”. Tento reťazec použijte ako filtračný reťazec vrámci post-auth konfigurácie súboru /etc/freeradius/3.0/sites-enabled/inner-tunnel. Ak je užívateľ členom príslušnej skupiny, priradí  sa mu príslušná VLANa.   * Príslušné identifikátory využijeme pre prideľovanie VLAN na základe group membership (viď konfigurácia vyššie). CN je užívateľské meno vrámci AD. V tomto prípade je použitý účet “eduroam.remote.check” pre ermon monitoring. Členstvo tohto účtu (t.j. položka “memberOf”) je “CN=eduroam.cesnet,CN=Users,DC=realm,DC=cz”. Tento reťazec použijte ako filtračný reťazec vrámci post-auth konfigurácie súboru /etc/freeradius/3.0/sites-enabled/inner-tunnel. Ak je užívateľ členom príslušnej skupiny, priradí  sa mu príslušná VLANa.
  
-{{jxplorer.png?600|}}+{{ jxplorer.png?600 |}}
 \\ \\ \\ \\
 Po skončení konfigurácie /etc/freeradius/3.0/mods-available/ldap je **nutné spraviť symlink**, aby sa konfigurácia z mods-available využívala aj v mods-enabled:\\ Po skončení konfigurácie /etc/freeradius/3.0/mods-available/ldap je **nutné spraviť symlink**, aby sa konfigurácia z mods-available využívala aj v mods-enabled:\\
Řádek 155: Řádek 155:
 Tohto stavu dosiahneme skrz tzv. filtrovanie atribútov. V prvom kroku povolíme filtrovanie atribútov vrámci konfigurácie /etc/freeradius/3.0/sites-enabled/default a v časti post-proxy (t.j. odpoveď od RADIUS serveru domácej inštitúcie vzhľadom na overovaný účet) odstraníme mrežu pred parametrom “attr_filter.post-proxy”.  \\ \\ Tohto stavu dosiahneme skrz tzv. filtrovanie atribútov. V prvom kroku povolíme filtrovanie atribútov vrámci konfigurácie /etc/freeradius/3.0/sites-enabled/default a v časti post-proxy (t.j. odpoveď od RADIUS serveru domácej inštitúcie vzhľadom na overovaný účet) odstraníme mrežu pred parametrom “attr_filter.post-proxy”.  \\ \\
  
-{{attr_filtering_1.png?500|}}+{{ attr_filtering_1.png?500 |}}
 \\ \\ \\ \\
  
Řádek 166: Řádek 166:
 Pozor – posledný záznam vrámci tohto súboru MUSÍ byť bez čiarky na konci (!).  Pozor – posledný záznam vrámci tohto súboru MUSÍ byť bez čiarky na konci (!). 
 \\ \\ \\ \\
-{{attr_filtering_2.png?500|}}+{{ attr_filtering_2.png?500 |}}
 \\ \\ \\ \\