關於 RADIUS 和 WiFi 身份驗證如何工作的初學者問題
我是南非一所高中的網路管理員,在 Microsoft 網路上執行。我們在校園內大約有 150 台 PC,其中至少有 130 台連接到網路。其餘的是員工筆記型電腦。所有 IP 地址均使用 DHCP 伺服器分配。
目前,我們的 Wi-Fi 訪問僅限於這些員工所在的幾個地點。我們正在使用帶有長密鑰的 WPA,學生無法使用該密鑰。據我所知,這把鑰匙是安全的。
然而,使用 RADIUS 身份驗證會更有意義,但我對它在實踐中的工作方式有一些疑問。
- 添加到域的機器是否會自動通過 Wi-Fi 網路進行身份驗證?還是基於使用者?可以兩者兼得嗎?
- 如果使用 RADIUS 身份驗證,PSP / iPod touch / Blackberry / 等設備是否能夠連接到 WiFi 網路?我希望這發生。
我確實有支持 RADIUS 身份驗證的 WAP。我只需要從 MS 2003 伺服器打開 RADIUS 功能。
考慮到移動設備的要求,使用強制門戶會更好嗎?我從機場的經驗中知道這是可以做到的(如果設備有瀏覽器)。
這讓我想到了關於強制門戶的問題:
- 我可以將強制門戶限制為僅連接 Wi-Fi 的設備嗎?我並不特別想為所有現有的網路機器設置 MAC 地址例外(在我的理解中,它只會增加 MAC 地址欺騙的機會)。
- 這是怎麼做到的?我是否有單獨的 WiFi 訪問設備地址範圍,然後強制門戶會在兩個網路之間路由?重要的是要強調 WAP 與其他不被強制門戶的機器共享一個物理網路。
您的經驗和見解將不勝感激!
菲利普
**編輯:**為了更清楚地了解強制門戶是否可行,我問了這個問題。
Wifi 的使用者身份驗證使用802.1x協議。
根據您使用的請求者,您是否能夠使用 Windows 域登錄名/密碼進行 SSO。
iPhone 和 iPod touch 內置了 WPA 請求者。我不知道PSP / BB。SecureW2 有一個 Windows Mobile 版本。
我確信您可以僅為 WiFi 啟用強制門戶,而無需創建 IP 網路。您只需要將無線訪問放在一個 vlan 中,將有線訪問放在另一個 vlan 中,然後將門戶放在兩個 vlan 之間。這就像一個透明的防火牆。
802.1x 需要在電腦上有一個請求者。如果知道需要使用 Wifi 的電腦,您只需在它們上設置請求者,這是一個很好的解決方案。如果您想讓訪問者或類似的東西可以訪問您的無線訪問,那可能是一場噩夢,因為他們需要請求者等。
強制門戶的安全性稍差一些,並且每次連接時都需要使用者手動進行身份驗證。這可能有點無聊。
從我的角度來看,一個好的解決方案也是兩者兼而有之。一個 802.1x 訪問,讓您就像在區域網路上有線一樣,一個強制門戶讓您訪問更少的東西(訪問網際網路埠 80,對本地區域網路的有限訪問,…)