Написать
создание топика, блога
Записная книжка сисадмина → Настройка связки FreeRadius+MySQL+DaloRadius, а также подключение iPhone, iPad к корпоративной Wi-Fi сети
Шпаргалка для настройки связки FreeRadius+MySQL+DaloRadius, а также подключения iPhone, iPad к корпоративной Wi-Fi сети.
Вполне рабочее руководство по генерации сертификатов и настройке FreeRadius: www.smallnetbuilder.com/wireless/wireless-howto/30213-how-to-setting-up-freeradius-for-wpa-a-wpa2-enterprise-part-2
Для установки 2 версии FreeRadius под CentOS – yum install freeradius2
Уточнение необходимых модулей для настройки связки FreeRadius с MySQL — www.howtoforge.com/authentication-authorization-and-accounting-with-freeradius-and-mysql-backend-and-webbased-management-with-daloradius, особенно вот это — yum install php php-mysql php-pear php-gd php-pear-DB –y (без этого не получится залогиниться в daloradius)
Обновление openssl на CentOS — j3pd.wordpress.com/2011/08/31/upgrading-openssl/
Устранение ошибки компиляции пакета 'rc4_md5_enc' – установить патч www.linuxfromscratch.org/blfs/view/svn/postlfs/openssl.html. Несмотря на странное название патча, ошибку компиляции он устраняет также. После обновления openssl заставить FreeRadius использовать механизм tls 1.2 не удалось, по-прежнему используется tls 1.0, проблема не гуглится, видимо, следует разобраться со строкой cipher_list = DEFAULT в файле eap.conf
При генерации сертификатов для iPad, iPhone следует изготовить сертификаты по схеме для Windows XP. На компьютер администратора установить iPhone configuration utility — www.apple.com/ru/support/iphone/enterprise/, установить сертификаты CA и клиента в систему администратора, причем сертификат клиента пометить как экспортируемый. Затем создать профиль в iPhone configuration utility, установить сертификаты на вкладке Credentials, создать подключение Wi-Fi и прописать в нем установленные сертификаты, загрузить профиль на устройство.
Настройка контроллера сети хорошо описана тут — habrahabr.ru/post/148903/. При подключении контроллера на транковом порту коммутатора сети настроить два VLAN – один management, второй для пользовательских данных. AP подключать к access-порту в management-vlan коммутатора сети. Пользовательские данные от AP инкапсулируются проприетарным протоколом и передаются до контроллера по management-vlan. На контроллере создать интерфейс, привязать его к vlan для пользовательских данных, создать WLAN и привязать его к вновь созданному интерфейсу. Никаких сертификатов на контроллер грузить не надо, все проверки на RADIUS. На контроллере настроить два DHCP Scope для двух сетей – management и клиентов Wi-Fi. Если AP не подключается к контроллеру по необъяснимой причине, проверить, совпадают ли настройки Regulatory Domain для обоих устройств.
Для того, чтобы заработал биллинг в DaloRadius, следует завести клиентов с именем, совпадающим с mac-адресом клиентского устройства, с произвольным паролем (он все равно не проверяется). В этом случае при генерации сертификата клиента также используется в качестве имени mac-адрес.
Вполне рабочее руководство по генерации сертификатов и настройке FreeRadius: www.smallnetbuilder.com/wireless/wireless-howto/30213-how-to-setting-up-freeradius-for-wpa-a-wpa2-enterprise-part-2
Для установки 2 версии FreeRadius под CentOS – yum install freeradius2
Уточнение необходимых модулей для настройки связки FreeRadius с MySQL — www.howtoforge.com/authentication-authorization-and-accounting-with-freeradius-and-mysql-backend-and-webbased-management-with-daloradius, особенно вот это — yum install php php-mysql php-pear php-gd php-pear-DB –y (без этого не получится залогиниться в daloradius)
Обновление openssl на CentOS — j3pd.wordpress.com/2011/08/31/upgrading-openssl/
Устранение ошибки компиляции пакета 'rc4_md5_enc' – установить патч www.linuxfromscratch.org/blfs/view/svn/postlfs/openssl.html. Несмотря на странное название патча, ошибку компиляции он устраняет также. После обновления openssl заставить FreeRadius использовать механизм tls 1.2 не удалось, по-прежнему используется tls 1.0, проблема не гуглится, видимо, следует разобраться со строкой cipher_list = DEFAULT в файле eap.conf
При генерации сертификатов для iPad, iPhone следует изготовить сертификаты по схеме для Windows XP. На компьютер администратора установить iPhone configuration utility — www.apple.com/ru/support/iphone/enterprise/, установить сертификаты CA и клиента в систему администратора, причем сертификат клиента пометить как экспортируемый. Затем создать профиль в iPhone configuration utility, установить сертификаты на вкладке Credentials, создать подключение Wi-Fi и прописать в нем установленные сертификаты, загрузить профиль на устройство.
Настройка контроллера сети хорошо описана тут — habrahabr.ru/post/148903/. При подключении контроллера на транковом порту коммутатора сети настроить два VLAN – один management, второй для пользовательских данных. AP подключать к access-порту в management-vlan коммутатора сети. Пользовательские данные от AP инкапсулируются проприетарным протоколом и передаются до контроллера по management-vlan. На контроллере создать интерфейс, привязать его к vlan для пользовательских данных, создать WLAN и привязать его к вновь созданному интерфейсу. Никаких сертификатов на контроллер грузить не надо, все проверки на RADIUS. На контроллере настроить два DHCP Scope для двух сетей – management и клиентов Wi-Fi. Если AP не подключается к контроллеру по необъяснимой причине, проверить, совпадают ли настройки Regulatory Domain для обоих устройств.
Для того, чтобы заработал биллинг в DaloRadius, следует завести клиентов с именем, совпадающим с mac-адресом клиентского устройства, с произвольным паролем (он все равно не проверяется). В этом случае при генерации сертификата клиента также используется в качестве имени mac-адрес.
1 комментарий