Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Trådløst karantenenett Øystein Gyland SINT/USIT/UiO.

Liknende presentasjoner


Presentasjon om: "Trådløst karantenenett Øystein Gyland SINT/USIT/UiO."— Utskrift av presentasjonen:

1 Trådløst karantenenett Øystein Gyland SINT/USIT/UiO

2 Kort om trådløst ved UiO. LDAP som kildesystem FreeRADIUS Et stort 1X-nett og et stort vev-autentisert nett. Felles nett for WISM-kontrollerne (Aksesspunkter har egne mindre nett)

3 Bakgrunn for karantenenett Før sperret vi alle brukere i FreeRADIUS. Brukerne fikk ikke med seg at eller hvorfor de var sperret ”Brukernavnsisten” hvor andre autentiserer for bruker som er sperret Få ting i RT gir bedre oversikt, som oversikt over antallet ganger brukeren har vært åpnet. Kan gjøre sikkerhetsoppdateringer, antivirusprogram med mer tilgjengelig på et lukket nett.

4 Sperrer i FreeRadius, kan også gjøres i LDAP (cerebrum) Vlan-tagging skjer via rlm_perl i post-auth på 1X-autentiserte nett. Sikkert andre måter å gjøre det på også. Vlan-taggingen er hardkodet i perl- skriptet Sperring i authorize Karantenenett

5 Sperre / ikke sperre. Karantenenett Sperre Bruker 1X-nett på Campus EDUROAMVev-autentisertAnnet 1X- nett

6 Sperre / ikke sperre. Ingen mulighet for dynamisk vlan-tildeling på vev-autentiserte nett. Et mindre antall randsoner har ikke sperrenett tilgjengelig. Brukere som kobler til fra eksterne steder (EDUROAM) (Sjekke NAS-IP).

7 Captive-portal for å informere brukerne. Tjener på samme nett som klientene. Ikke rutet 3/4-6 komponenter: Navnetjener Vevtjener DHCP-tjener. (Iptables) (RT+database)

8 Captive-portal for å informere brukerne. VLAN- tagging Bruker NettleserSperreside IP DNS

9 WISM / DHCP WISM: Allow AAA override på SSID. VLAN tilgjengelig på 1q-trunk inn DHCPD option routers $egen_adresse option domain-name-servers $egen_adresse

10 Enkel variant av Net::DNS::Nameserver. Svarer foo.tld is an alias for wireless-quarantine.uio.no. wireless-quarantine.uio.no has address Uansett hva slags A-record du spør om. Tilsvarende for PTR-record Iptables tar seg av all innkommende trafikk på 53/UDP, klienten kan bruke vilkårlig IP- adresse som navnetjener. Navnetjener

11 Fang opp 404/403 og pek det til index.cgi DirectoryIndex index.cgi ErrorDocument 404 /index.cgi ErrorDocument 403 /index.cgi index.cgi: print $html->redirect(-uri=>"https://wireless- quarantine.uio.no/auth/login.php", -status=>301); HTTP/301 => moved permanently Vevtjener

12 Vevtjener II Innloggingsside for bruker. Kjedet sertifikat for å unngå problemer med nettlesere og sertifikatproblematikk. Åpner flattekstfil med personlig budskap til brukeren. Logger inn i RT og oppretter en tom sak. Lagrer saksnummer i database. Sender epost til RT med selve innholdet og saksnummer som emne for at ting skal havne riktig.

13

14

15

16 Bilde fra RT her.

17 Versjon 2.0? Sperre i LDAP istedenfor? Lettere å delegere rettigheter for å åpne/sperre brukerne. Vlan pr. bruker? Slipper autentisering utover det som allerede skjer via 1X.


Laste ned ppt "Trådløst karantenenett Øystein Gyland SINT/USIT/UiO."

Liknende presentasjoner


Annonser fra Google