Назад | Перейти на главную страницу

Как ограничить доступ пользователя к определенному NAS?

Я новичок в RADIUS, и я только что настроил очень простой сервер FreeRADIUS для 802.1x (WPA). Я использую EAP, MySQL в качестве backend с daloRADIUS в качестве webGUI (в основном для управления пользователями).

У меня есть две сети Wi-Fi, одна частная и гостевая сеть. Теперь я хочу указать пользователей для каждого NAS. Таким образом, есть определенные пользователи, которым разрешено использовать только гостевую сеть, а не частную.

Как я могу это сделать? Возможно ли такое с FreeRADIUS? Потому что я не могу найти никакой информации об этом. Это может быть что-то странное, я неправильно использую RADIUS?

Понял! Проблема заключалась в том, что атрибут NAS-Identifier не копировался в туннелированный запрос EAP. Установка "copy_request_to_tunnel" на "yes" исправила это :)

Теперь я могу использовать атрибут NAS-Identifier в качестве проверки в таблице radcheck.

По пути нужно настроить разные виртуальные серверы и направить каждый NAS на другой сервер. Вы можете настроить пользователей, а затем назначить их на разные виртуальные серверы. Фактически вы должны назначить их разным группам, а затем назначить каждую группу разным виртуальным серверам. См. Документацию для виртуальные серверы

Вы также можете использовать охотничьи группы. Здесь у вас есть один сервер, но каждый NAS назначается отдельной группе поиска. Затем вы назначаете пользователей / группы пользователей каждой группе поиска.

Если вы не хотите делать это самостоятельно, вы можете рассмотреть возможность использования некоторых сервисных компаний. Клаудесса использует FreeRadius на сервере и поддерживает двухфакторную аутентификацию с помощью Google Autenicator. Нет безопасности проводов - еще одна компания, которая делает радиус как услугу.