Wifi

如何限制使用者對特定 NAS 的訪問?

  • July 31, 2013

我是 RADIUS 的新手,我剛剛為 802.1x (WPA) 設置了一個非常基本的 FreeRADIUS 伺服器。我使用 EAP、MySQL 作為後端,使用 daloRADIUS 作為 webGUI(主要用於使用者管理)。

我有兩個 WiFi 網路,一個專用網路和一個訪客網路。現在我想為每個 NAS 指定使用者。所以有些使用者只被允許使用訪客網路而不是私有網路。

我怎麼做?FreeRADIUS 甚至可以做到這一點嗎?因為我似乎找不到任何關於它的資訊。是不是有些奇怪,我是否以錯誤的方式使用 RADIUS?

知道了!問題是 NAS-Identifier 屬性沒有被 EAP 複製到隧道請求中。將“copy_request_to_tunnel”設置為“yes”修復了它:)

現在我可以使用 NAS-Identifier 屬性作為 radcheck 表中的檢查。

方法是設置不同的虛擬伺服器並將每個 NAS 指向不同的伺服器。您可以設置使用者,然後將使用者分配到不同的虛擬伺服器。實際上,您應該將它們分配給不同的組,然後將每個組分配給不同的虛擬伺服器。請參閱虛擬伺服器的文件

您還可以使用尋線組。在這裡,您有一台伺服器,但將每個 NAS 分配給不同的尋線組。然後將使用者/使用者組分配給每個尋線組。

如果您不想自己這樣做,您可以考慮一些半徑作為服務的公司。 Cloudessa在後端使用 FreeRadius,並支持使用 Google Autenicator 進行兩因素身份驗證。 No Wires Security是另一家提供半徑即服務的公司。

引用自:https://serverfault.com/questions/527377