Laste ned presentasjonen
Presentasjon lastes. Vennligst vent
1
Trådløst karantenenett
Øystein Gyland SINT/USIT/UiO
2
Kort om trådløst ved UiO.
LDAP som kildesystem FreeRADIUS Et stort 1X-nett og et stort vev-autentisert nett. Felles nett for WISM-kontrollerne (Aksesspunkter har egne mindre nett)
3
Bakgrunn for karantenenett
Før sperret vi alle brukere i FreeRADIUS. Brukerne fikk ikke med seg at eller hvorfor de var sperret ”Brukernavnsisten” hvor andre autentiserer for bruker som er sperret Få ting i RT gir bedre oversikt, som oversikt over antallet ganger brukeren har vært åpnet. Kan gjøre sikkerhetsoppdateringer, antivirusprogram med mer tilgjengelig på et lukket nett.
4
Karantenenett Sperrer i FreeRadius, kan også gjøres i LDAP (cerebrum)
Vlan-tagging skjer via rlm_perl i post-auth på 1X-autentiserte nett. Sikkert andre måter å gjøre det på også. Vlan-taggingen er hardkodet i perl- skriptet Sperring i authorize
5
Sperre / ikke sperre. Bruker 1X-nett på Campus EDUROAM Vev-autentisert
Annet 1X-nett Karantenenett Sperre
6
Sperre / ikke sperre. Ingen mulighet for dynamisk vlan-tildeling på vev-autentiserte nett. Et mindre antall randsoner har ikke sperrenett tilgjengelig. Brukere som kobler til fra eksterne steder (EDUROAM) (Sjekke NAS-IP).
7
Captive-portal for å informere brukerne.
Tjener på samme nett som klientene. Ikke rutet 3/4-6 komponenter: Navnetjener Vevtjener DHCP-tjener. (Iptables) (RT+database)
8
Captive-portal for å informere brukerne.
VLAN-tagging IP DNS Nettleser Sperreside
9
WISM / DHCP WISM: Allow AAA override på SSID.
VLAN tilgjengelig på 1q-trunk inn DHCPD option routers $egen_adresse option domain-name-servers $egen_adresse
10
Navnetjener Enkel variant av Net::DNS::Nameserver. Svarer
foo.tld is an alias for wireless-quarantine.uio.no. wireless-quarantine.uio.no has address Uansett hva slags A-record du spør om. Tilsvarende for PTR-record Iptables tar seg av all innkommende trafikk på 53/UDP, klienten kan bruke vilkårlig IP- adresse som navnetjener.
11
Vevtjener Fang opp 404/403 og pek det til index.cgi
<Directory /foo/bar> DirectoryIndex index.cgi ErrorDocument 404 /index.cgi ErrorDocument 403 /index.cgi </Directory> index.cgi: print $html->redirect(-uri=>" quarantine.uio.no/auth/login.php", -status=>301); HTTP/301 => moved permanently
12
Vevtjener II Innloggingsside for bruker.
Kjedet sertifikat for å unngå problemer med nettlesere og sertifikatproblematikk. Åpner flattekstfil med personlig budskap til brukeren. Logger inn i RT og oppretter en tom sak. Lagrer saksnummer i database. Sender epost til RT med selve innholdet og saksnummer som emne for at ting skal havne riktig.
16
Bilde fra RT her.
17
Versjon 2.0? Sperre i LDAP istedenfor?
Lettere å delegere rettigheter for å åpne/sperre brukerne. Vlan pr. bruker? Slipper autentisering utover det som allerede skjer via 1X.
Liknende presentasjoner
© 2024 SlidePlayer.no Inc.
All rights reserved.