Jestem administratorem sieci w liceum w Południowej Afryce, działającym w sieci Microsoft. W całym kampusie mamy około 150 komputerów, z czego co najmniej 130 jest podłączonych do sieci. Pozostałe to laptopy dla personelu. Wszystkie adresy IP są przypisywane za pomocą serwera DHCP.
Obecnie nasz dostęp do Wi-Fi jest ograniczony do kilku lokalizacji, w których znajdują się ci pracownicy. Używamy WPA z długim kluczem, który nie jest udostępniany studentom. Według mojej wiedzy ten klucz jest bezpieczny.
Bardziej sensowne byłoby jednak korzystanie z uwierzytelniania RADIUS, ale mam pytania dotyczące tego, jak to działa w praktyce.
- Czy komputery dodane do domeny automatycznie uwierzytelnią się w sieci Wi-Fi? Czy jest to oparte na użytkownikach? Czy to może być jedno i drugie?
- Czy urządzenia takie jak PSP / iPod touch / Blackberry / etc / będą mogły łączyć się z siecią Wi-Fi, jeśli używa uwierzytelniania RADIUS? Chciałbym, żeby tak się stało.
Mam WAP, które obsługują uwierzytelnianie RADIUS. Chciałbym tylko włączyć funkcję RADIUS z serwera MS 2003.
Biorąc pod uwagę wymagania dotyczące urządzeń mobilnych, czy korzystanie z portalu dla niewolników byłoby lepsze? Wiem z doświadczenia na lotniskach, że można to zrobić (jeśli urządzenie ma przeglądarkę).
Co prowadzi mnie do pytań dotyczących portali typu Captive:
- Czy mogę ograniczyć portal przechwytujący tylko do urządzeń podłączonych do Wi-Fi? Nie chcę specjalnie konfigurować wyjątków adresów MAC dla wszystkich istniejących maszyn sieciowych (w moim rozumieniu, po prostu zwiększa to możliwość fałszowania adresów MAC).
- Jak to się robi? Czy mam osobny zakres adresów dla urządzeń dostępowych Wi-Fi, a następnie portal przechwytujący trasy będzie kierował między dwiema sieciami? Należy podkreślić, że punkty WAP współużytkują sieć fizyczną z innymi komputerami, które nie mają być przenoszone w niewoli.
Twoje doświadczenie i wgląd będą mile widziane!
Philip
Edycja: Aby uzyskać nieco większą jasność, czy portal dla niewoli jest w ogóle wykonalny, zadałem to pytanie .
źródło