Авторизация 802.1x (Radius)

[alper]

Добрый день,

Вот задумал у себя в сети поднять авторизацию про протоколу 802.1x, поддержка в коммутаторах вроде есть, радиус - сервер подниму.
Делается для исключения возможности физического подключения к сети левого оборудования (личные ноутбуки сотрудников, к примеру).
По идее, можно поднять фильтр по связке mac+ip на маршрутизаторе, но все это перехватывается и обходится на раз-два.
С виндовыми клиентами все ок, авторизация там есть и встроенная, есть и куча стороннего софта для этого.
В ВтВари этого кажется нет, вопрос - возможно ли прикрутить поддержку этого протокола авторизации ?
Имя и пароль хранить, к примеру, в конфигурационном файле, желательно в зашифрованном виде.

[aka]

С бездисковой загрузкой это в принципе несовместимо. Выделяй порты, на которых сидят бездиски, в отдельный vlan, и уже на уровне ip ограничивай доступ из этого вилана только серверами - dhcp, tftp и терминальным.

[alper]

С бездисковой загрузкой это в принципе несовместимо. Выделяй порты, на которых сидят бездиски, в отдельный vlan, и уже на уровне ip ограничивай доступ из этого вилана только серверами - dhcp, tftp и терминальным.

а если с дисковой (у меня как раз везде втварь с хардов стартует) ?

[aka]

Не думаю, что в обозримом будущем это будет сделано. Слишком редкая задача.

[alper]

Не думаю, что в обозримом будущем это будет сделано. Слишком редкая задача.

понял, ок, пока попробую изолировать через отдельный vlan
но все равно, имейте ввиду, пожалуйста

[aka]

Имеем ввиду. Вот заработаем сто тысяч миллионов долларов, наймем более 9000 программистов и сразу сделаем

[KVIK]

Имеем ввиду. Вот заработаем сто тысяч миллионов долларов, наймем более 9000 программистов и сразу сделаем

хватит и на 3 порядка меньшего, т.е. 100 лимонов и 9 программистов

[shurilla]

доброго времени суток прошло три года что то поменялось в сторону решения данной проблеммы

[aka]

Ничего не поменялось: за три года никто больше этого не просил.

[quality]

А ещё через 6 лет, почти 7, есть в планах?)

[aka]

За 6, почти 7 лет этого опять никто не просил.

[quality]

За 6, почти 7 лет этого опять никто не просил.

Может стоит попробовать реализовать? Уж очень оно актуально в больших организациях..

[aka]

Если очень актуально, почему не просят?

[quality]

Если очень актуально, почему не просят?

Может не умеют настраивать? Или же просто не знают, что ЭТО. Или организации из 10-20 компьютеров. Или оборудование не поддерживает 802.1X. Вариантов может быть много. Но без этого по сути есть "дырочка" в сети, по которой можно пытаться ломать как роутер, так и RDP, так и DNS. Эти вещи минимум открыты в этой сетке

Разделение по VLAN это конечно хоть что-то (но не есть безопасно, да и руками перенастраивать порты в коммутаторах....), но все-равно хотелось бы чтобы терминал, переезжающий из кабинета в кабинет (или же новый), проходил авторизацию и получал настройки порта автоматически и собственно доступ в свою сеть. А все порты в коммутаторе в failover по умолчанию

[aka]

Может, это не нужно? Я тоже не понимаю смысл системы безопасности, ключ к которой хранится на диске незашифрованным.

[quality]

Может, это не нужно? Я тоже не понимаю смысл системы безопасности, ключ к которой хранится на диске незашифрованным.

В данном случае у меня центр сертификации зашифрован, сертификаты выдаются и отзываются. С точки зрения wtware клиентские сертификаты реализовать бы наподобии конфигов, так же в папке с маком терминала помещается, а пароль через конфигурационный файл передать в md5 например... (если он добавлен конечно) и параметры сертификатов и т.д.

[aka]

С линуксами научился эту штуку дружить? Там же просто запускается wpa_supplicant, тот же самый, который для WiFi используется и в втвари есть.

[quality]

С линуксами научился эту штуку дружить? Там же просто запускается wpa_supplicant, тот же самый, который для WiFi используется и в втвари есть.

Судя по описанию и настройкам, проблем на линуксе быть не должно, и опять же используется для wifi (клиентов на Linux нет, проверить не могу). Как управлять этой штукой в wtware? Как ее вызвать или скормить ей аналог конфигурации?

[aka]

Научиться управлять этой штукой в линуксе.

[quality]

Научиться управлять этой штукой в линуксе.

В Linux с вызывом wpa_supplicant проблем нет (любой вменяемый человек это поймет), а вот в wtware как это сделать? Вы пишите, что в wtware он имеется, как его загрузить или передать ему параметры?

[aka]

а вот в wtware как это сделать?

Три варианта, выбирай любой:

1. Назвать свой аккаунт с давно купленной тысячей лицензий. Тогда мы всё бросим и будем в этом разбираться самостоятельно.

2. Привести ещё пятерых пользователей втвари, которые очень хотят это тестировать в разных организациях. Тогда мы запишем это в план работ и начнем делать по мере возможности.

3. Самому разобраться, как это работает в линуксе. Рассказать, что именно должна делать втварь. Если возможно - рассказать, как сделать испытательный стенд. Если я пойму, тогда прикрутим.

[Kot_Uchoniy]

Категорически поддерживаю! Вещь очень нужная!