аутентификация локальных клиентов 802.1X

alexandrnew

вы задачу читали?
вытянуть сертификат, при его защите (хоть и не большой) - более сложно чем предложенный вами ррое рртр пароль…

• не надо что бы юзер что то вводил.

werter

@alexandrnew:

вы задачу читали?
вытянуть сертификат, при его защите (хоть и не большой) - более сложно чем предложенный вами ррое рртр пароль…

• не надо что бы юзер что то вводил.

1. Читал. У вас там что ВСЕ юзеры как минимум CCNA ? Все знают КАК и ЧЕМ снифать трафик ? А главное снифать-то надо на ШЛЮЗЕ, чтобы вытащить пароль. Или у вас до сих пор ХАБЫ стоят.

2. Если уже решили как и чем это сделать и люди предложили уже все возможные варианты, то чего ждете ?

alexandrnew

напомню - надо что бы юзер ничего дополнительно не вводил, следовательно рртр или ррое пас должен быть сохранен локально, для данного юзера.  - софта его показывающего данный пас - более чем.

при старте топика я написал - оптимальное решение в сторону 802.1X  и радиуса…
опенвпн (как сервис) заюзаю если не получится оптимальный вариант.

Eugene

Просмотрел 802.1x - работает пониже уровня IP, в принципе должен/может использоваться свичом для конкретного порта. Как в эту картину pfSense думаешь вписать? все правила работают на уровне IP.

alexandrnew

hostapd- вот такая зраза есть под линух, что то еще встречал + модуль для iptables - под фрю ничего толкового пока не нахожу…потому и топик поднял...

werter

@alexandrnew:

hostapd- вот такая зраза есть под линух, что то еще встречал + модуль для iptables - под фрю ничего толкового пока не нахожу…потому и топик поднял...

Кто сказал что под Фрю hostapd нет (или это "однофамилец"  ??? ?) ? Как минимум :

1. http://habrahabr.ru/blogs/bsdelniki/72158/#habracut
2. http://forum.lissyara.su/viewtopic.php?f=4&t=11707
3. http://brainstorm.name/archives/33
4. Google

zar0ku1

@alexandrnew:

нет, мак легко подделать, у меня на ноуте - даже инду ребутить не надо…

какое оборудование используется в конторе, имеется ввиду сетевая активка?

alexandrnew

@zar0ku1:

@alexandrnew:

нет, мак легко подделать, у меня на ноуте - даже инду ребутить не надо…

какое оборудование используется в конторе, имеется ввиду сетевая активка?

вопрос в том -что оборудование тут врядли поможет.
это распределенная вайфай сеть, по нвшим филиалам, которой пользуются гости, в т.ч. и продвинутые ИТшники (кстати, всех с прошедшим :) ), которым подделать мак- не проблема, сеть - огромная, более 200 вайфай точек…
ставить на них всех умную активку, с данным протоколом- дорого... заставлять некоторых руководителей вводить логин\пас - тоже не очень удобно...а привязать их ип к маку- бесполезно.. причина выше...

zar0ku1

если гости да еще и вайфай, то портлокинг отпадает, который я хотел придложить

нужно какие-то умные вайфайки, либо разграничение по вланам с урезанием прав или что-то в этом духе

alexandrnew

так я и об єтом думаю :), пока проще и умнее чем сервис опенвпн - ничего не придумал :)