This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision | |||
|
cs:spravce:pripojovani:radius:freeradius3:jedno_ssid_vladne_vsem [2019/09/18 12:01] Stanislav Pach |
cs:spravce:pripojovani:radius:freeradius3:jedno_ssid_vladne_vsem [2019/09/18 12:48] (current) Stanislav Pach |
||
|---|---|---|---|
| Line 11: | Line 11: | ||
| Vysvetlenie tohto javu ako aj kalkulačka overheadu je popísaná na stránkach [[http://www.revolutionwifi.net/revolutionwifi/p/ssid-overhead-calculator.html|Revolution Wi-Fi]]. | Vysvetlenie tohto javu ako aj kalkulačka overheadu je popísaná na stránkach [[http://www.revolutionwifi.net/revolutionwifi/p/ssid-overhead-calculator.html|Revolution Wi-Fi]]. | ||
| \\ \\ | \\ \\ | ||
| - | {{ssid_overhead_excel.png?500|}} | + | {{ ssid_overhead_excel.png?500 |}} |
| \\ \\ | \\ \\ | ||
| Na tomto príklade je názorne vidieť, že __väčší počet AP v pokrývanej lokalite neznamená vždy vyššiu priepustnosť__. Je doležité pri návrhu siete zvážiť umiestnenie AP vzhľadom na požadované pokrytie priestoru, počet AP, využitie šírky pásma (napr. použitie 40 MHz kanálu v 2,4 GHz pásme je vyložene recept na problémy), množstvo SSID a ďaľšie parametre. Veľmi dobrým pomocníkom v tejto oblasti je napríklad [[https://www.ekahau.com/products/ekahau-site-survey/overview/|EKAHAU Site Survey]] . | Na tomto príklade je názorne vidieť, že __väčší počet AP v pokrývanej lokalite neznamená vždy vyššiu priepustnosť__. Je doležité pri návrhu siete zvážiť umiestnenie AP vzhľadom na požadované pokrytie priestoru, počet AP, využitie šírky pásma (napr. použitie 40 MHz kanálu v 2,4 GHz pásme je vyložene recept na problémy), množstvo SSID a ďaľšie parametre. Veľmi dobrým pomocníkom v tejto oblasti je napríklad [[https://www.ekahau.com/products/ekahau-site-survey/overview/|EKAHAU Site Survey]] . | ||
| Line 33: | Line 33: | ||
| * Upravte adresu servera a port, administrátorsky účet a base dn. Ak používate LDAPS, komunikačný port je 636. | * Upravte adresu servera a port, administrátorsky účet a base dn. Ak používate LDAPS, komunikačný port je 636. | ||
| - | {{dynamic_vlan_1.png?500|}} | + | {{ dynamic_vlan_1.png?500 |}} |
| \\ \\ | \\ \\ | ||
| * Upravte search filter tak, aby to sedelo s príslušným parametrom vrámci AD.\\ \\ | * Upravte search filter tak, aby to sedelo s príslušným parametrom vrámci AD.\\ \\ | ||
| - | {{dynamic_vlan_2.png?500|}} | + | {{ dynamic_vlan_2.png?500 |}} |
| \\ \\ | \\ \\ | ||
| Pôvodná hodnota: filter = "(**uid**=%{%{Stripped-User-Name}:-%{User-Name}})" \\ | Pôvodná hodnota: filter = "(**uid**=%{%{Stripped-User-Name}:-%{User-Name}})" \\ | ||
| Line 48: | Line 48: | ||
| Unable to chase referral "ldap://realm.cz/CN=Configuration,DC=realm,DC=cz" (-1: Can't contact LDAP server) | Unable to chase referral "ldap://realm.cz/CN=Configuration,DC=realm,DC=cz" (-1: Can't contact LDAP server) | ||
| \\ \\ | \\ \\ | ||
| - | {{dynamic_vlan_3.png?500|}} | + | {{ dynamic_vlan_3.png?500 |}} |
| * Pridajte do /etc/freeradius/3.0/sites-enabled/inner-tunnel do časti **post-auth** nasledovné riadky za časť “ldap”: | * Pridajte do /etc/freeradius/3.0/sites-enabled/inner-tunnel do časti **post-auth** nasledovné riadky za časť “ldap”: | ||
| Line 101: | Line 101: | ||
| - | {{dynamic_vlan_4.png?500|}} | + | {{ dynamic_vlan_4.png?500 |}} |
| Line 119: | Line 119: | ||
| | | ||
| - | {{dynamic_vlan_6.png?500|}} | + | {{ dynamic_vlan_6.png?500 |}} |
| Line 125: | Line 125: | ||
| V súbore /etc/freeradius/3.0/mods-enabled/**eap** v časti **peap** a **ttls** zmente položku “use_tunneled_reply = **no**” na “use_tunneled_reply = **yes**”. To zaistí, že sa informácie o VLANe prepíšu z inner-tunnel časti t.j. (EAP časť RADIUS paketu) do outer-tunnel časti paketu. Bez tejto úpravy neakceptuje Wi-Fi kontrolér požiadavok na priradenie užívateľa do príslušnej VLANy. | V súbore /etc/freeradius/3.0/mods-enabled/**eap** v časti **peap** a **ttls** zmente položku “use_tunneled_reply = **no**” na “use_tunneled_reply = **yes**”. To zaistí, že sa informácie o VLANe prepíšu z inner-tunnel časti t.j. (EAP časť RADIUS paketu) do outer-tunnel časti paketu. Bez tejto úpravy neakceptuje Wi-Fi kontrolér požiadavok na priradenie užívateľa do príslušnej VLANy. | ||
| \\ \\ | \\ \\ | ||
| - | {{dynamic_vlan_5.png?500|}} | + | {{ dynamic_vlan_5.png?500 |}} |
| \\ \\ | \\ \\ | ||
| * Po vykonaní príslušnej konfigurácie nieje potrebné, aby v /etc/freeradius/3.0/users boli nejaké záznamy. Je dokonca odporúčané, aby users neobsahovalo ďaľšie záznamy v prípade , ak sa použije zložitejšia časť konfigurácie FR (ako je napr. NTLM či LDAP). | * Po vykonaní príslušnej konfigurácie nieje potrebné, aby v /etc/freeradius/3.0/users boli nejaké záznamy. Je dokonca odporúčané, aby users neobsahovalo ďaľšie záznamy v prípade , ak sa použije zložitejšia časť konfigurácie FR (ako je napr. NTLM či LDAP). | ||
| Line 131: | Line 131: | ||
| * Zistenie “memberOf” je možné skrz JXplorer. | * Zistenie “memberOf” je možné skrz JXplorer. | ||
| - | {{jxplorer_2.png?400|}} | + | {{ jxplorer_2.png?400 |}} |
| * Príslušné identifikátory využijeme pre prideľovanie VLAN na základe group membership (viď konfigurácia vyššie). CN je užívateľské meno vrámci AD. V tomto prípade je použitý účet “eduroam.remote.check” pre ermon monitoring. Členstvo tohto účtu (t.j. položka “memberOf”) je “CN=eduroam.cesnet,CN=Users,DC=realm,DC=cz”. Tento reťazec použijte ako filtračný reťazec vrámci post-auth konfigurácie súboru /etc/freeradius/3.0/sites-enabled/inner-tunnel. Ak je užívateľ členom príslušnej skupiny, priradí sa mu príslušná VLANa. | * Príslušné identifikátory využijeme pre prideľovanie VLAN na základe group membership (viď konfigurácia vyššie). CN je užívateľské meno vrámci AD. V tomto prípade je použitý účet “eduroam.remote.check” pre ermon monitoring. Členstvo tohto účtu (t.j. položka “memberOf”) je “CN=eduroam.cesnet,CN=Users,DC=realm,DC=cz”. Tento reťazec použijte ako filtračný reťazec vrámci post-auth konfigurácie súboru /etc/freeradius/3.0/sites-enabled/inner-tunnel. Ak je užívateľ členom príslušnej skupiny, priradí sa mu príslušná VLANa. | ||
| - | {{jxplorer.png?600|}} | + | {{ jxplorer.png?600 |}} |
| \\ \\ | \\ \\ | ||
| Po skončení konfigurácie /etc/freeradius/3.0/mods-available/ldap je **nutné spraviť symlink**, aby sa konfigurácia z mods-available využívala aj v mods-enabled:\\ | Po skončení konfigurácie /etc/freeradius/3.0/mods-available/ldap je **nutné spraviť symlink**, aby sa konfigurácia z mods-available využívala aj v mods-enabled:\\ | ||
| Line 155: | Line 155: | ||
| Tohto stavu dosiahneme skrz tzv. filtrovanie atribútov. V prvom kroku povolíme filtrovanie atribútov vrámci konfigurácie /etc/freeradius/3.0/sites-enabled/default a v časti post-proxy (t.j. odpoveď od RADIUS serveru domácej inštitúcie vzhľadom na overovaný účet) odstraníme mrežu pred parametrom “attr_filter.post-proxy”. \\ \\ | Tohto stavu dosiahneme skrz tzv. filtrovanie atribútov. V prvom kroku povolíme filtrovanie atribútov vrámci konfigurácie /etc/freeradius/3.0/sites-enabled/default a v časti post-proxy (t.j. odpoveď od RADIUS serveru domácej inštitúcie vzhľadom na overovaný účet) odstraníme mrežu pred parametrom “attr_filter.post-proxy”. \\ \\ | ||
| - | {{attr_filtering_1.png?500|}} | + | {{ attr_filtering_1.png?500 |}} |
| \\ \\ | \\ \\ | ||
| Line 166: | Line 166: | ||
| Pozor – posledný záznam vrámci tohto súboru MUSÍ byť bez čiarky na konci (!). | Pozor – posledný záznam vrámci tohto súboru MUSÍ byť bez čiarky na konci (!). | ||
| \\ \\ | \\ \\ | ||
| - | {{attr_filtering_2.png?500|}} | + | {{ attr_filtering_2.png?500 |}} |
| \\ \\ | \\ \\ | ||
CESNET, z. s. p. o.
Zikova 4, 16000 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz