如何限制使用者對特定 NAS 的訪問？

我是 RADIUS 的新手，我剛剛為 802.1x (WPA) 設置了一個非常基本的 FreeRADIUS 伺服器。我使用 EAP、MySQL 作為後端，使用 daloRADIUS 作為 webGUI（主要用於使用者管理）。

我有兩個 WiFi 網路，一個專用網路和一個訪客網路。現在我想為每個 NAS 指定使用者。所以有些使用者只被允許使用訪客網路而不是私有網路。

我怎麼做？FreeRADIUS 甚至可以做到這一點嗎？因為我似乎找不到任何關於它的資訊。是不是有些奇怪，我是否以錯誤的方式使用 RADIUS？

知道了！問題是 NAS-Identifier 屬性沒有被 EAP 複製到隧道請求中。將“copy_request_to_tunnel”設置為“yes”修復了它:)

現在我可以使用 NAS-Identifier 屬性作為 radcheck 表中的檢查。

方法是設置不同的虛擬伺服器並將每個 NAS 指向不同的伺服器。您可以設置使用者，然後將使用者分配到不同的虛擬伺服器。實際上，您應該將它們分配給不同的組，然後將每個組分配給不同的虛擬伺服器。請參閱虛擬伺服器的文件

您還可以使用尋線組。在這裡，您有一台伺服器，但將每個 NAS 分配給不同的尋線組。然後將使用者/使用者組分配給每個尋線組。

如果您不想自己這樣做，您可以考慮一些半徑作為服務的公司。 Cloudessa在後端使用 FreeRadius，並支持使用 Google Autenicator 進行兩因素身份驗證。 No Wires Security是另一家提供半徑即服務的公司。

引用自：https://serverfault.com/questions/527377