none
שרת רדיוס RRS feed

  • שאלה

  • שלום,

    אני צריך להפעיל שרת רדיוס בארגון שלי כדי שאורחים שיגיעו יוכלו להתחבר לרשת האלחוטית עם שם משתמש וסיסמא.

    הקמתי סביבת טסט לפי מדריכים שקיימים באינטרנט וכחלק מהתהליך יש להתקין  רול של תעודות (certificate).

    התקנתי שרת 2012  שכולל בתוכו AD,DNS,AD CS,ו NAP.

    הגדרתי את שרת הרדיוס והראוטר לפי המדריך, הכל עובד תקין ואני מצליח להתחבר לרשת האלחוטית דרך שרת רדיוס  לאחר שאני מקיש שם משתמש וסיסמא שיצרתי ב-AD.

    ההתחברות מתבצעת לאחר יצירה ידנית של רשת אלחוטית במחשב הקליינט והגדרה ידנית של הרשת האלחוטית שהוספתי למחשב.

    בגלל שיש תעודה בשרת, והמחשב שאני מתחבר איתו לרשת  האלחוטית  לא נמצא בדומיין אני חייב להסיר את ההגדרה Validate server certificate ברשת האלחוטית שהגדרתי במחשב אחרת זה לא מתחבר לרשת האלחוטית.

    לאחר שניסיתי להסביר את עצמי כמה שיותר השאלה שלי היא כזו:

    האם ניתן להתחברלרשת האלחוטית שמוגדרת בשרת הרדיוס ללא הגדרה ידנית של הרשת?

    ההגדרה הידנית של הרשת נובעת בגלל שלא ניתן לשלוח את התעודה של השרת.

    בבקשה עזרה.

    תודה.


    • נערך על-ידי IDeloitte יום רביעי 23 אוקטובר 2013 06:14
    יום רביעי 23 אוקטובר 2013 06:12

תשובות

  • שלום.

    בהתאם להסבר שלך - אני ממליץ שאם אתה משתמש ב RADIUS עבור רשת של אורחים אז זה יהיה שרת נפרד שלא מקושר ל AD שלך - יכול להיות שרת windows או Linux עם תוכנת RADIUS כלשהי שעובדת מול LOCAL ACCOUNTS של אותו שרת.

    לגבי השאלה המקורית איך לפתור את הבעיה של CERTIFICATE לצערי אני לא יודע את התשובה.

    אני מעריך שאפשר לשנות משהו בהגדרות AUTHENTICATION אבל לא בדקתי.

    להת

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    • סומן כתשובה על-ידי Eran Sharvit יום ראשון 27 אוקטובר 2013 14:50
    יום חמישי 24 אוקטובר 2013 18:27

כל התגובות

  • שלום.

    אם מדובר ב"אורחים" כפי שציינת, אז אני לא מבין מה בדיוק המטרה שלך,

    ולמה אתה מקצה להם חשבון ב AD ?

    הם לא אמורים להתחבר לרשת שלך בכלל.

    אם יש צורך לאפשר להם גישה לאינטרנט אז אפשר להקצות להם רשת אלחוטית נפרדת עם WPA .

    שימוש ב RADIUS מתאים בעיקר למצבים אחרים, למשל אם אתה רוצה לאפשר למחשבים ומשתמשים מה DOMAIN כניסה אוטומטית לרשת ללא הגדרת סיסמא.

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    יום רביעי 23 אוקטובר 2013 16:24
  • שלום רב,

    לחלק מה Access Point יש יכולת לתפקד בתור שרת DHCP + DNS וכאשר משתמש פותח את הדפדפן הוא גולש לדף שבו עליו להקיש סיסמה \ שם משתמש + סיסמה וכן להסכים לתנאי השימוש (בד"כ אפשר לבטל את המסך שמחייב הסכמה לתנאי השימוש, למרות שלדעתי הוא מגן עליך משפטית - וזאת לאחר שתשים נוסח שיאושר ע"י היועץ המשפטי של החברה).

    לפיכך, כפי שציין יזהר אתה לא צריך את התשתית שציינת, ולדעתי מספיק שתחליף פעם ביום \ שבוע סיסמה זה יספק.

    בהצלחה


    Best Regards, Yuval Sinay, Shadowall Group CTO http://www.shadowall.net , Blog: http://blogs.microsoft.co.il/blogs/yuval14

    יום רביעי 23 אוקטובר 2013 20:26
  • בוקר טוב,

    קודם כל תודה רבה על התגובה.

    בהתייחס לתגובה, הצורך בשרת רדיוס הוא שלא יהיה עומס על הרשת האלחוטית בארגון שכרגע הוא מאובטח עם סיסמא ויש לכולם יכולת להתחבר אליו.

    מטרת שרת הרדיוס היא להתחבר לרשת האלחוטית בארגון עם שם משתמש וסיסמא זמניים שיינתנו לפקידות בכל קומה. ואז כאשר אורח או עובד רוצים להתחבר לרשת האלחוטית (שכבר פרוסה ועובדת בצורה תקינה) הם יצטרכו לבקש מהפקידה את היוזר והסיסמא כדי להתחבר, הסיסמא תהיה תקפה לשבועיים ולאחר מכן תוחלף הסיסמא לסיסמא חדשה.

    המצב הנתון בסביבת הטסט שלי כרגע הוא:

    הדומיין שהקמתי בסביבת הטסט הוא דומיין שלא קשור לרשת הפנימית של הארגון וכך  גם יהיה בסביבת האמת, מטרת הדומיין היא להקים יוזרים שיוכלו להתחבר לשרת הרדיוס והסיסמא שלהם תפוג לאחר שבועיים.

    עכשיו, כאשר אני רוצה להתחבר לרשת האלחוטית שהקמתי בסביבת הטסט שלי אני חייב להגדיר ידנית את הרשת האלחוטית במחשב הקליינט ולהגדיר אותה שלא תבקש תעודה.

    רק לאחר הגדרה זו אני יכול להתחבר לרשת האלחוטית שיצרתי ולגלוש.

    המידע שאני  מחפש זה האפשרות להתחבר לרשת אלחוטית שמוגדרת דרך שרת רדיוס, אותו משתמש (אורח,עובד) יתבקש להזין יוזר וסיסמא בלבד מבלי להגדיר ידנית את הרשת ולשחק עם ההגדרות שלה.

    אני מקווה שהסברתי את עצמי בצורה יותר טובה.

    בכל אופן תודה רבל על העזרה.

    יום טוב.


    • נערך על-ידי IDeloitte יום חמישי 24 אוקטובר 2013 06:46 תמונה
    יום חמישי 24 אוקטובר 2013 06:14
  • שלום.

    בהתאם להסבר שלך - אני ממליץ שאם אתה משתמש ב RADIUS עבור רשת של אורחים אז זה יהיה שרת נפרד שלא מקושר ל AD שלך - יכול להיות שרת windows או Linux עם תוכנת RADIUS כלשהי שעובדת מול LOCAL ACCOUNTS של אותו שרת.

    לגבי השאלה המקורית איך לפתור את הבעיה של CERTIFICATE לצערי אני לא יודע את התשובה.

    אני מעריך שאפשר לשנות משהו בהגדרות AUTHENTICATION אבל לא בדקתי.

    להת

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    • סומן כתשובה על-ידי Eran Sharvit יום ראשון 27 אוקטובר 2013 14:50
    יום חמישי 24 אוקטובר 2013 18:27