Autentizace na bázi MAC
Průvodce konfigurací

Nadview

Autentizace založená na MAC je metoda ověřování, která řídí práva uživatelů na přístup k sítím na základě jejich MAC adres. Když je povolena autentizace na základě MAC, ovladač převezme MAC adresy bezdrátových klientů jako jejich uživatelská jména a hesla pro ověření, když klient
požaduje poprvé přístup k internetu. Klienti mohou přistupovat k bezdrátovým sítím nakonfigurovaným s autentizací založenou na MAC po úspěšném autentizaci.

Autentizační metoda založená na MAC se uplatní na základě SSID. MAC adresa se používá jako uživatelské jméno a heslo v procesu ověřování. Když je MAC adresa zařízení uložena v databázi serveru RADIUS a jsou na ovladači dokončeny příslušné konfigurace, zařízení může přistupovat k internetu bez nutnosti zadávat uživatelské jméno a heslo. Mezitím budou odepřena zařízení, jejichž MAC adresy nejsou v databázi. Během procesu uživatel nemusí ručně zadávat uživatelské jméno nebo heslo a bezdrátová zařízení nemusí instalovat žádného klienta.
software.

Example pro ověřování založené na systému Mac

Požadavky na síť
Správce sítě chce dát skupině bezdrátových zařízení právo na přístup k internetu.
Tato zařízení by měla být před získáním přístupu k internetu ověřena. Pro pohodlí je vyžadováno, aby proces ověřování probíhal automaticky a na zařízení není potřeba žádný další klientský software. Ke splnění požadavku se doporučuje autentizace založená na MAC.

Konfigurace
Autentizace založená na MAC ověřuje zařízení pomocí jejich MAC adresy. Předem zkontrolujte MAC adresy zařízení. FreeRADIUS se používá pro demonstraci konfigurace autentizace na bázi MAC pomocí Omada SDN Controller. Proces zahrnuje tři kroky, jak je uvedeno níže.

1. Sestavte server RADIUS.
2. Vytvořte bezdrátovou síť (SSID) a RADIUS profile na ovladači.
3.  Nakonfigurujte autentizaci na základě MAC na ovladači.

Vezměte Omada Software Controller jako example, topologie sítě je zobrazena níže.

1. Stáhněte si FreeRADIUS.net a nainstalujte jej podle pokynů průvodce.
2. Klepněte pravým tlačítkem na ikonu pro načtení následující stránky. Zvolte Start FreeRADIUS.net Service pro spuštění serveru RADIUS.
   
3. Klepněte pravým tlačítkem na ikonu a zvolte Upravit klienty Radius. conf pro přidání položky pro klienta RADIUS.
   Jedna klientská sekce znamená klienta RADIUS. Můžete si vybrat jednu z klientských sekcí a upravit následující atributy nebo přidat novou klientskou sekci.
   Aby se předešlo chybám formátu, doporučuje se k úpravě konfigurace použít editor kódu file.
   Pro demonstraci v této příručce se používá Notepad++. Upravte nebo přidejte atributy a uložte file.
   

   První linie	Definujte klienta RADIUS, což je obvykle NAS (Network Access Server), ve formátu „client [hostname | IP adresa]". Zde byste měli zadat IP adresy EAP. Pamatujte, že FreeRADIUS podporuje zadávání IP adres ve formátu „IP/mask“, ale jiné servery RADIUS to nemusí podporovat. Při použití jiných serverů RADIUS nejprve zkontrolujte podporovaný formát.
   Tajný	Zadejte sdílený klíč mezi serverem RADIUS a řadičem. Server RADIUS a řadič používají řetězec klíčů k šifrování hesel a výměně odpovědí.
   Krátké jméno	(Volitelné) Zadejte krátký název pro identifikaci klientské sekce.

4.  Klepněte pravým tlačítkem na ikonu a zvolte Upravit uživatele pro přidání MAC adres zařízení do databáze.
   
5. Přidejte MAC adresy zařízení do databáze jako uživatelské jméno a heslo. Pamatujte, že formát adresy MAC by měl být 12 hexadecimálních číslic malými písmeny bez interpunkce nebo mezery.
   
6. Klikněte Restartujte službu FreeRaDIUS.net a restartujte FreeRaDIUS.net, aby nově upravený kód vstoupil v platnost.

1. Přejděte do Nastavení > Bezdrátové sítě a vytvořte bezdrátovou síť.
2.  Kliknutím na + Vytvořit novou bezdrátovou síť načtete následující stránku. Nakonfigurujte základní parametry bezdrátové sítě a jako strategii zabezpečení zvolte Žádné.
   

   Název sítě (SSID)	Zadejte název sítě (SSID) pro identifikaci bezdrátové sítě. Autentizace založená na MAC se projeví na základě SSID.
   Kapela	Povolte pro bezdrátovou síť rádiové pásmo 2.4 GHz a/nebo 5 GHz.
   Síť pro hosty	S povolenou sítí pro hosty je všem klientům, kteří se připojují k SSID, zablokováno, aby dosáhli jakékoli soukromé podsítě IP.
   Zabezpečení	Vyberte strategii zabezpečení pro bezdrátovou síť. Chcete-li použít SSID pro autentizaci založenou na MAC, zvolte jako bezpečnostní strategii Žádné, jinak musí klient před přístupem k internetu projít autentizací založenou na MAC i strategii zabezpečení, kterou zde zvolíte.

3. Přejděte do Nastavení > Ověření > RADIUS Profiles vytvořit RADIUS profile.
4.  Klikněte na + Vytvořit nový RADIUS Profile pro načtení následující stránky. Nakonfigurujte následující parametry.
   

   Jméno	Zadejte název pro identifikaci RADIUS profile.
   IP autentizačního serveru	Zadejte IP adresu ověřovacího serveru. Zde zadejte IP adresu počítače, na který instalujete freeRADIUS.net.
   Autentizační port	Zadejte cílový port UDP na ověřovacím serveru pro požadavky na ověření. Port 1812 je výchozí port pro ověřování serveru RADIUS, takže si jej ve většině případů můžete ponechat.
   Ověřovací heslo	Zadejte heslo, které bude použito k ověření komunikace mezi zařízeními Omada a ověřovacím serverem RADIUS. Zde zadejte tajemství, konkrétně sdílený klíč, který jste nastavili ve volném okruhu.

   

1.  Chcete-li tuto funkci aktivovat, přejděte do Nastavení > Ověřování > Ověřování na základě MAC.
   
2. Konfigurujte následující parametry.
   

   SSID	Vyberte jedno nebo více SSID, aby se ověření na základě MAC projevilo.
   RADIUS Profile	Vyberte RADIUS profile jste vytvořili z rozevíracího seznamu. RADIUS profile zaznamenává informace serveru RADIUS, který funguje jako ověřovací server během ověřování na základě MAC.
   Na bázi MAC Záložní ověřování	Pokud je bezdrátová síť nakonfigurována s ověřováním na základě MAC i ověřováním portálu, když tuto funkci povolíte, bezdrátový klient musí předat pouze jedno ověření. Klient nejprve zkouší autentizaci na základě MAC a je oprávněn vyzkoušet ověřování portálu, pokud se nezdařilo ověřování na základě MAC. Když tuto funkci zakážete jako výchozí, bezdrátový klient musí pro přístup k internetu projít autentizací založenou na MAC a portálem a bude odepřen pokud selže jeden z nich autentizace.
   Formát MAC adresy	Vyberte formát MAC adresy klientů, který ovladač používá pro ověřování. Poté řadič změní MAC adresy ve stanoveném formátu a ty se použijí jako uživatelská jména pro klienty na serveru RADIUS. Zde na freeRADIUS.net jsou MAC adresy uloženy ve formátu aabbccddeeff (12 hexadecimálních číslic malými písmeny bez interpunkce nebo mezery).
   Prázdné heslo	Kliknutím povolíte prázdné heslo pro ověřování na základě MAC. Pokud je tato možnost vypnutá, heslo bude stejné jako uživatelské jméno.

Ověření konfigurace

Po dokončení všech konfigurací můžete podle níže uvedených kroků otestovat, zda autentizace založená na MAC funguje.

1. Hledat bezdrátovou síť na zařízení, jehož MAC adresa byla přidána do databáze serveru RADIUS.
2. Vyberte SSID, které zvolíte pro ověření na základě MAC, aby se projevilo.
3.  Pokud se zařízení připojí k SSID a má přístup k internetu, znamená to, že zařízení prošlo ověřením.
   Přejít na klienti a zkontrolujte, zda je zařízení v seznamu klientů ve stavu Připojeno, znamená to, že zařízení prošlo ověřením.

Omada SDN Controller 4.1.5 nebo vyšší
19110012900 REV1.0.0
© 2021 TP-Link
února 2021

Dokumenty / zdroje

Konfigurace ověřování na základě MAC pomocí tp-link [pdfUživatelská příručka tp-link, MAC-Based, Authentication, Configuration

Reference

• Uživatelská příručka