cs:spravce:pripojovani:radius:freeradius3:jedno_ssid_vladne_vsem

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
cs:spravce:pripojovani:radius:freeradius3:jedno_ssid_vladne_vsem [2019/09/18 12:01]
Stanislav Pach
cs:spravce:pripojovani:radius:freeradius3:jedno_ssid_vladne_vsem [2019/09/18 12:48] (current)
Stanislav Pach
Line 11: Line 11:
 Vysvetlenie tohto javu ako aj kalkulačka overheadu je popísaná na stránkach [[http://​www.revolutionwifi.net/​revolutionwifi/​p/​ssid-overhead-calculator.html|Revolution Wi-Fi]]. ​ Vysvetlenie tohto javu ako aj kalkulačka overheadu je popísaná na stránkach [[http://​www.revolutionwifi.net/​revolutionwifi/​p/​ssid-overhead-calculator.html|Revolution Wi-Fi]]. ​
 \\ \\ \\ \\
-{{ssid_overhead_excel.png?​500|}}+{{ ssid_overhead_excel.png?​500 |}}
 \\ \\ \\ \\
 Na tomto príklade je názorne vidieť, že __väčší počet AP v pokrývanej lokalite neznamená vždy vyššiu priepustnosť__. Je doležité pri návrhu siete zvážiť umiestnenie AP vzhľadom na požadované pokrytie priestoru, počet AP, využitie šírky pásma (napr. použitie 40 MHz kanálu v 2,4 GHz pásme je vyložene recept na problémy), množstvo SSID a ďaľšie parametre. Veľmi dobrým pomocníkom v tejto oblasti je napríklad [[https://​www.ekahau.com/​products/​ekahau-site-survey/​overview/​|EKAHAU Site Survey]] .  Na tomto príklade je názorne vidieť, že __väčší počet AP v pokrývanej lokalite neznamená vždy vyššiu priepustnosť__. Je doležité pri návrhu siete zvážiť umiestnenie AP vzhľadom na požadované pokrytie priestoru, počet AP, využitie šírky pásma (napr. použitie 40 MHz kanálu v 2,4 GHz pásme je vyložene recept na problémy), množstvo SSID a ďaľšie parametre. Veľmi dobrým pomocníkom v tejto oblasti je napríklad [[https://​www.ekahau.com/​products/​ekahau-site-survey/​overview/​|EKAHAU Site Survey]] . 
Line 33: Line 33:
  
   * Upravte adresu servera a port, administrátorsky účet a base dn. Ak používate LDAPS, komunikačný port je 636.   * Upravte adresu servera a port, administrátorsky účet a base dn. Ak používate LDAPS, komunikačný port je 636.
- ​{{dynamic_vlan_1.png?​500|}}+ {{ dynamic_vlan_1.png?​500 |}}
 \\ \\ \\ \\
   * Upravte search filter tak, aby to sedelo s príslušným parametrom vrámci AD.\\ \\   * Upravte search filter tak, aby to sedelo s príslušným parametrom vrámci AD.\\ \\
-{{dynamic_vlan_2.png?​500|}}+{{ dynamic_vlan_2.png?​500 |}}
 \\ \\ \\ \\
 Pôvodná hodnota: filter = "​(**uid**=%{%{Stripped-User-Name}:​-%{User-Name}})"​ \\ Pôvodná hodnota: filter = "​(**uid**=%{%{Stripped-User-Name}:​-%{User-Name}})"​ \\
Line 48: Line 48:
 Unable to chase referral "​ldap://​realm.cz/​CN=Configuration,​DC=realm,​DC=cz"​ (-1: Can't contact LDAP server) Unable to chase referral "​ldap://​realm.cz/​CN=Configuration,​DC=realm,​DC=cz"​ (-1: Can't contact LDAP server)
 \\ \\ \\ \\
-{{dynamic_vlan_3.png?​500|}}+{{ dynamic_vlan_3.png?​500 |}}
  
   * Pridajte do /​etc/​freeradius/​3.0/​sites-enabled/​inner-tunnel do časti **post-auth** nasledovné riadky za  časť “ldap”:   * Pridajte do /​etc/​freeradius/​3.0/​sites-enabled/​inner-tunnel do časti **post-auth** nasledovné riadky za  časť “ldap”:
Line 101: Line 101:
  
  
-{{dynamic_vlan_4.png?​500|}}+{{ dynamic_vlan_4.png?​500 |}}
  
  
Line 119: Line 119:
  
       ​       ​
-{{dynamic_vlan_6.png?​500|}}+{{ dynamic_vlan_6.png?​500 |}}
  
  
Line 125: Line 125:
 V súbore /​etc/​freeradius/​3.0/​mods-enabled/​**eap** v časti **peap** a **ttls** zmente ​ položku “use_tunneled_reply = **no**” ​ na “use_tunneled_reply = **yes**”. To zaistí, že sa informácie o VLANe prepíšu z inner-tunnel časti t.j. (EAP časť RADIUS paketu) do outer-tunnel časti paketu. Bez tejto úpravy neakceptuje Wi-Fi kontrolér požiadavok na priradenie užívateľa do príslušnej VLANy. V súbore /​etc/​freeradius/​3.0/​mods-enabled/​**eap** v časti **peap** a **ttls** zmente ​ položku “use_tunneled_reply = **no**” ​ na “use_tunneled_reply = **yes**”. To zaistí, že sa informácie o VLANe prepíšu z inner-tunnel časti t.j. (EAP časť RADIUS paketu) do outer-tunnel časti paketu. Bez tejto úpravy neakceptuje Wi-Fi kontrolér požiadavok na priradenie užívateľa do príslušnej VLANy.
 \\ \\ \\ \\
-{{dynamic_vlan_5.png?​500|}}+{{ dynamic_vlan_5.png?​500 |}}
 \\ \\ \\ \\
   * Po vykonaní príslušnej konfigurácie nieje potrebné, aby v  /​etc/​freeradius/​3.0/​users boli nejaké záznamy. Je dokonca odporúčané,​ aby users neobsahovalo ďaľšie záznamy v prípade , ak sa použije zložitejšia časť konfigurácie FR (ako je napr. NTLM či LDAP).   * Po vykonaní príslušnej konfigurácie nieje potrebné, aby v  /​etc/​freeradius/​3.0/​users boli nejaké záznamy. Je dokonca odporúčané,​ aby users neobsahovalo ďaľšie záznamy v prípade , ak sa použije zložitejšia časť konfigurácie FR (ako je napr. NTLM či LDAP).
Line 131: Line 131:
   * Zistenie “memberOf” je možné skrz  JXplorer. ​     * Zistenie “memberOf” je možné skrz  JXplorer. ​  
  
-{{jxplorer_2.png?​400|}}+{{ jxplorer_2.png?​400 |}}
  
   * Príslušné identifikátory využijeme pre prideľovanie VLAN na základe group membership (viď konfigurácia vyššie). CN je užívateľské meno vrámci AD. V tomto prípade je použitý účet “eduroam.remote.check” pre ermon monitoring. Členstvo tohto účtu (t.j. položka “memberOf”) je “CN=eduroam.cesnet,​CN=Users,​DC=realm,​DC=cz”. Tento reťazec použijte ako filtračný reťazec vrámci post-auth konfigurácie súboru /​etc/​freeradius/​3.0/​sites-enabled/​inner-tunnel. Ak je užívateľ členom príslušnej skupiny, priradí ​ sa mu príslušná VLANa.   * Príslušné identifikátory využijeme pre prideľovanie VLAN na základe group membership (viď konfigurácia vyššie). CN je užívateľské meno vrámci AD. V tomto prípade je použitý účet “eduroam.remote.check” pre ermon monitoring. Členstvo tohto účtu (t.j. položka “memberOf”) je “CN=eduroam.cesnet,​CN=Users,​DC=realm,​DC=cz”. Tento reťazec použijte ako filtračný reťazec vrámci post-auth konfigurácie súboru /​etc/​freeradius/​3.0/​sites-enabled/​inner-tunnel. Ak je užívateľ členom príslušnej skupiny, priradí ​ sa mu príslušná VLANa.
  
-{{jxplorer.png?​600|}}+{{ jxplorer.png?​600 |}}
 \\ \\ \\ \\
 Po skončení konfigurácie /​etc/​freeradius/​3.0/​mods-available/​ldap je **nutné spraviť symlink**, aby sa konfigurácia z mods-available využívala aj v mods-enabled:​\\ Po skončení konfigurácie /​etc/​freeradius/​3.0/​mods-available/​ldap je **nutné spraviť symlink**, aby sa konfigurácia z mods-available využívala aj v mods-enabled:​\\
Line 155: Line 155:
 Tohto stavu dosiahneme skrz tzv. filtrovanie atribútov. V prvom kroku povolíme filtrovanie atribútov vrámci konfigurácie /​etc/​freeradius/​3.0/​sites-enabled/​default a v časti post-proxy (t.j. odpoveď od RADIUS serveru domácej inštitúcie vzhľadom na overovaný účet) odstraníme mrežu pred parametrom “attr_filter.post-proxy”. ​ \\ \\ Tohto stavu dosiahneme skrz tzv. filtrovanie atribútov. V prvom kroku povolíme filtrovanie atribútov vrámci konfigurácie /​etc/​freeradius/​3.0/​sites-enabled/​default a v časti post-proxy (t.j. odpoveď od RADIUS serveru domácej inštitúcie vzhľadom na overovaný účet) odstraníme mrežu pred parametrom “attr_filter.post-proxy”. ​ \\ \\
  
-{{attr_filtering_1.png?​500|}}+{{ attr_filtering_1.png?​500 |}}
 \\ \\ \\ \\
  
Line 166: Line 166:
 Pozor – posledný záznam vrámci tohto súboru MUSÍ byť bez čiarky na konci (!).  Pozor – posledný záznam vrámci tohto súboru MUSÍ byť bez čiarky na konci (!). 
 \\ \\ \\ \\
-{{attr_filtering_2.png?​500|}}+{{ attr_filtering_2.png?​500 |}}
 \\ \\ \\ \\
    
Last modified:: 2019/09/18 12:48