OSI:WLC/Identity PSK
Z HelpDesk
< OSI:WLC
Popis metody ověřování zařízení pomocí různých PSK klíčů v jedné WLAN síti.
Identity PSK (IPSK)
Pokud chceme v bezdrátové síti ověřovat zařízení různými identitami, a toto zařízení nepodporuje Enterprise ověřování (EAP), lze využít tzv. Identity PSK (IPSK). Každé zařízení pak bude ověřeno RADIUS serverem na základě své MAC adresy.
Postup vytvoření bezdrátové sítě
- Vytvoříme novou WLAN
- Layer 2 Security
- WPA+WPA2
- Zapnout MAC Filtering
- Authentication Key Management PSK a zadat PSK frázi
- AAA Servers
- Zadat RADIUS server
- Advanced
- Zapnout Allow AAA Override
Nastavení RADIUS serveru
O párování MAC adresa == PSK fráze se stará RADIUS server. Návod odkazuje na Cisco ISE, ale lze použít i FreeRADIUS (testována verze 3.0.12).
- V adresáři /etc/freeradius/3.0 vytvořit soubor authorized_macs obsahující MAC adresu a unikátní PSK frázi
34-DE-1A-5E-DC-29 Cisco-AVPair = "psk-mode=ascii", Cisco-AVPair += "psk=iot123456789"
- V adresáři /etc/freeradius/3.0/mods-available vytvořit soubor files.authorized_macs a vytvořil link authorize_macs v adresáři mods-enable
# -*- text -*- files authorized_macs { # The default key attribute to use for matches. The content # of this attribute is used to match the "name" of the # entry. key = "%{Calling-Station-ID}" usersfile = ${confdir}/authorized_macs }
- V adresáři /etc/freeradius/3.0/sites-available vytvořit soubor ise s obsahem
server ise { listen { type = auth ipaddr = * port = 1812 limit { max_connections = 16 lifetime = 0 idle_timeout = 30 } } listen { type = acct ipaddr = * port = 1813 limit { } } authorize { # filter_username # filter_password preprocess # Uppercase Calling-Station-Id rewrite_calling_station_id # Now check against the authorized_macs file authorized_macs if (!ok) { # No match was found, so reject #reject # Or accept for default PSK defined on WLC accept } else { # The MAC address was found, so update Auth-Type # to accept this auth. update control { Auth-Type := Accept } } auth_log files expiration logintime } authenticate { Auth-Type PAP { pap } Auth-Type CHAP { chap } Auth-Type MS-CHAP { mschap } mschap digest eap } preacct { preprocess acct_unique suffix files } accounting { detail unix radutmp attr_filter.accounting_response } session { radutmp } post-auth { reply_log remove_reply_message_if_eap Post-Auth-Type REJECT { attr_filter.access_reject eap remove_reply_message_if_eap } } pre-proxy { } post-proxy { eap } }
Odkazy
8.5 Identity PSK Feature Deployment Guide