+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Аутентифицироваться по логину/паролю по беспроводному соединению в радиусе.

Аутентифицироваться по логину/паролю по беспроводному соединению в радиусе., RouterOS

mserrano

Guest

12.05.2006 08:34:00

Привет, ребята! Я искал ответ на форуме в каждой публикации, касающейся "радиуса", но не нашёл подходящего решения для своей проблемы. Я хочу использовать точки доступа MikroTik для получения подключений с ноутбуков Windows XP, которые аутентифицируются к Active Directory серверу. Сценарий такой: Ноутбук Windows XP ↔ Точка доступа MikroTik ↔ Freeradius ↔ AD сервер. Точка доступа MikroTik должна выступать как простой мост, чтобы ноутбуки могли аутентифицироваться на сервере Freeradius. Проблема в том, что единственный способ использования RADIUS (в беспроводном интерфейсе) — отправка MAC-адреса в качестве имени пользователя (множественный выбор: hotspot | login | ppp | telephony | wireless | dhcp; по умолчанию: “”) - сервисы роутера, которые будут использовать этот RADIUS сервер [..] wireless - беспроводная аутентификация клиента (MAC-адрес клиента отправляется в качестве имени пользователя). Я не вижу способа заставить AP отправлять значения имени пользователя/пароля на сервер Freeradius (даже с последней RouterOS). Не знаю, это ли новая функция, которая будет добавлена в следующий релиз OS. Я что-то упускаю?

Beccara

Guest

12.05.2006 08:43:00

Если я правильно понимаю, вы хотите использовать FreeRADIUS, чтобы разрешить беспроводным клиентам подключаться к точке доступа? Верно? Если да, то логина/пароля нет – в качестве имени пользователя передается MAC-адрес без пароля.

mserrano Guest	#3 0 12.05.2006 09:14:00 Да, вы правы, и это тоже проблема.

Beccara Guest	#4 0 12.05.2006 09:19:00 Что ты предлагаешь использовать в качестве "пароля"? Единственный вариант, который я вижу, — это какой-то WPA/WEP, где ключ WEP/WPA возвращался бы от RADIUS, что вполне возможно.

cmit

Guest

12.05.2006 11:43:00

Если я правильно понимаю ваши намерения, вы можете настроить HotSpot на MikroTik AP с аутентификацией через FreeRadius. Затем настройте FreeRadius для аутентификации пользователей в Active Directory (что, вероятно, возможно, хотя я не пробовал и даже не убедился, что это работает. Но какой-нибудь RADIUS-сервер точно может аутентифицировать в AD). Ведь при использовании HotSpot ваши пользователи могут вводить имя пользователя и пароль (что, насколько я понимаю, и было вашей просьбой)… Надеюсь, это поможет? С наилучшими пожеланиями, Christian Meis

mserrano

Guest

12.05.2006 12:33:00

Ок, попробую объяснить лучше. Проблема в том, что "подключение ноутбука по беспроводной сети с аутентификацией против сервера Active Directory". Решение, которое я запланировал: "ноутбук подключается к микротику AP, который передает слой аутентификации freeradius (потому что я думаю, что AD сервер не позволяет 802.1x протокол), freeradius использует AD сервер в качестве базы данных авторизации". Проблема в том, как передавать имя пользователя/пароль freeradius. Микротик AP передает (только MAC-адрес клиента в качестве имени пользователя/пароля RADIUS), так что это не валидное решение. Я настроил микротик с wpa-psk (у каждого клиента один и тот же общий ключ), и эта фаза работает правильно, но следующая (получение имени пользователя/пароля от ноутбуков) — это то, где сейчас проблема. Как отметил Кристиан, я добавил сервис "hotspot" под RADIUS, но WinXP отправляет имя пользователя/пароль на этапе подключения к Wi-Fi под протоколом MSCHAP-v2, и кажется, что это не работает с сервисом "hotspot", потому что он ничего не отправляет на freeradius. Итак, мои вопросы: а) нужно ли как-то конкретно настраивать "hotspot"? (создавать группы пользователей и т.д.) б) возможно ли использовать режим wpa-enterprise в микротиках AP? (потому что возможно использовать RADIUS в качестве сервера аутентификации 802.1x) в) могу ли я настроить беспроводной сервис в микротике AP, чтобы он отправлял все пакеты аутентификации на freeradius, а не только MAC-адрес? Надеюсь, я теперь объяснил себя понятнее, и спасибо за ответы.

cmit

Guest

12.05.2006 12:59:00

Что именно вам нужно аутентифицировать? Вход в Windows? Я, честно говоря, не понимаю. Я думал, вам нужно, чтобы ноутбуки подключались к точке доступа и могли входить в систему “для выхода в интернет” с использованием своего имени пользователя и пароля Active Directory? Если да, то они должны ввести эти учетные данные на странице входа в точку доступа, как я описал выше. Если же вам нужно аутентифицировать вход в Windows по беспроводной сети к серверу AD и *одновременно* чтобы ноутбук аутентифицировался для подключения к беспроводной сети вообще — я понятия не имею, как это сделать. Но я, честно говоря, не особо силен в Windows/AD, чтобы отвечать на этот вопрос. По-моему, это похоже на опцию “вход через dial-up-networking”, которую мне кажется, я где-то видел давным-давно… Но, наверное, кто-нибудь другой здесь должен вмешаться. С наилучшими пожеланиями, Christian Meis.

DirectWireless

Guest

13.05.2006 03:50:00

Не уверен, какую версию Windows Server используете, но в Server 2000 "Internet Authentication Services" (то есть RADIUS) встроены, и он может нативно аутентифицироваться по имени пользователя и паролю AD. Так что можно использовать RADIUS HOTSPOT для входа с использованием имени пользователя и пароля AD, или можно установить имя пользователя AD равным MAC-адресу, а пароль – равным MAC-адресу, и обойти вход. Настраивать это было не так-то просто, но, возможно, проще, чем заставить FreeRadius общаться с AD…

mserrano

Guest

16.05.2006 08:02:00

Да, мне нужно аутентифицировать Windows-логин по беспроводной сети, только этот сервис (доступ в интернет может быть включен или нет). Мне кажется, это должно быть возможно, потому что один из вариантов внутри протокола EAP на ноутбуках – отправлять Windows-логин как ID/PW для аутентификации по беспроводной сети. Назначил сервису точки доступа Mikrotik горячую точку, настроил RADIUS, заставил использовать RADIUS, но ничего не работает. Может, мне нужно больше покопаться в настройках горячей точки, чтобы лучше разобраться. Попробую использовать AD-сервер в качестве RADIUS, как советует "directwireless", и посмотрим, какие еще есть варианты в настройках горячей точки. Спасибо за помощь. P.D.: Настройка FreeRADIUS – это не проблема, смотри этот PDF.

Diganet Guest	#10 0 16.05.2006 10:57:00 Это называется 802.1x /Henrik

savage

Guest

#11

17.05.2006 19:05:00

Аутентификация EAP тоже возможна здесь, можно настроить через FR в AD/LDAP (в основном использует сертификаты для аутентификации, если я не ошибаюсь). Установить это – тот еще квест. Мне это пока за пределами моих знаний.

mserrano Guest	#12 0 22.05.2006 08:20:00 Прости за задержку. Я поставил сервер Win2003 с IAS в качестве RADIUS, и проблема та же. Как я понимаю, подключение по беспроводной сети состоит из двух частей: сначала — подключение к точке доступа, а затем — аутентификация в сеть (получение IP-адреса, поиск контроллера домена…). Подключение использует WEP/WPA-PSK/WPA-enterprise/WPA2 и так далее. Аутентификация использует EAP, PEAP… (базой авторизации может служить RADIUS или локальный список разрешенных пользователей). Подключение к точке доступа у меня получается без проблем. Но для аутентификации мне нужно войти в Windows-сеть с именем пользователя/паролем, хранящимися на AD-сервере, чтобы я мог смонтировать сетевые диски на ноутбуках и запустить сценарии входа для установки программного обеспечения. Опция “-radius-mac-authentication” службы беспроводной сети недостаточна, а служба точки доступа, думаю, не подойдет. Сейчас я сомневаюсь, что вход в Windows-сеть по беспроводной связи, как и по проводному Ethernet, возможен, но некоторые документы Microsoft (1 и 2) заставляют меня думать, что это возможно, просто я не знаю, как это сделать.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры