我不知道这个想法是否毫无意义,但我想知道这是否可能。我有一个由 LDAP 服务器支持的 FreeRadius 服务器,它使用 EAP-TTLS(即用户名+密码)进行身份验证。因此,当用户连接到 802.1x 交换机时,通过查询用户名+密码的请求者连接来授予他们访问权限,这些请求者连接在 LDAP 服务器中。这部分没问题。
但是我想要的是,一旦授予此用户,通过客户端证书区分“普通”用户和“管理员”用户,该证书将被 LDAP 服务器作为属性引用,以便从任何合适的位置下载(a NFS 服务器,例如),但前提是该用户的类型为“admin”。然后,将使用该客户端证书(我不知道如何,这就是问题所在)要求访问另一个 FreeRadius 服务器,在这种情况下,它将使用 EAP-TLS 方法,因此“管理员”用户将被授予另一个网络的一部分(那里会有另一种合理的服务器),而“普通”用户则不会。
总之:我希望有一个 FreeRadius 服务器来授予访问用户对局域网的第一个“视图”以及另一个 FreeRadius 服务器(由前者代理?),这将允许访问局域网上的另一个“更秘密”区域,具体取决于在用户身上。这可能吗?
非常感谢!!
在一个完美的世界中,您可以使用支持带内提供凭据(如 X509 证书)的 EAP 方法(如 TEAP)来执行您所描述的操作。不幸的是,EAP-TEAP 及其前身 EAP-FAST 尚未得到广泛实施。
我知道您只是以此为例,但我绝对不会使用 NFS。即使请求方主机支持 NFS,也需要手动配置。鉴于 HTTP(S) 的广泛支持和用户熟悉度,我想说 HTTP(S) 是获取证书访问权限的更明显选择。
尝试创建某种身份验证后配置机制将非常困难。识别使用凭据登录的管理员并为他们分配一个 VLAN 是相当简单的,该 VLAN 只提供对有围墙的花园的访问(他们可以在那里下载他们的管理员证书)。问题是围墙花园本身正变得越来越成问题。
更多网站正在切换到“默认安全”,这意味着用户进行的初始连接尝试很可能是通过 https。不可能以与 http 流量相同的方式重定向/重写 https 流量,因此很难以无缝方式将用户引导到围墙花园的登录页面。如果您确实想尝试一个有围墙的花园,您需要验证它是否适用于您的目标操作系统上的有线连接。
关于为不同的 EAP 方法使用不同的 RADIUS 服务器,这不是必需的。EAP 提供了一种方法协商机制。FreeRADIUS 中的相同 EAP 模块可以运行 EAP-TTLS 或 EAP-TLS。如果 EAP 模块默认请求 EAP-TLS,并且请求者有可用的证书并配置了 EAP-TLS,则 EAP-TLS 将运行,否则请求者将协商 EAP-TTLS,而 EAP-TTLS 将运行。
老实说,在初始身份验证后提供凭据对于帮助台来说似乎是一场噩梦。即使管理员设法访问、下载和导入他们的证书,他们也需要手动重新配置他们的请求者以使用它。
如果我要实现这个,我会完全放弃基于用户名/密码的身份验证,而是使用cloudpath(现在的 Ruckus)和其他人提供的可分解安装程序之一。作为同一操作的一部分,这些临时应用程序可以为网络接口提供用户证书和配置安全配置文件。您将通过公共网站提供可分解的安装程序,并在引导期间将用户指向它。
所有用户都将拥有类似的入职体验,但可以通过特殊的 OID 或使用不同的中间 CA 为管理员提供一个证书来识别他们。