Zapraszam do merytorycznej dyskusji.
-- Pozdrawiam Tomasz Dąbek [Thomas] [gg:14553 mail:tdabek_NO_@go2.pl]
założenia: 1. radius korzysta z bazy danych i dla userow i dla NAS 2. wprowadzamy grupy do urządzeń jako że nie korzystamy z pliku clients.conf a wiec NAS-y i ich hasła maja być wyciągane wprost z baz danych lms-a czyli po z lms-owych Urządzeń. A do tego potrzebne jest wprowadzenie rozróżnienia urządzeń "biernych" od bedących NASem. I do tego potrzebne są grupy dla urzadzeń albo przynajmniej "ptaszek" w opcjach danego urządzenia który nada danemu urządzeniu odpowiedni status NAS/nieNAS 3.konfiguracja powinna uwzględniać różne sposoby uwierzytelnienia:
---- najprostsza po mac adresie klienta ---- bezpieczniejsza z wykorzystaniem protokołu 802.1x + EAP(PEAP/MSCHAPv2)lub EAP-TTLS czyli użytkownik i hasło per klient (każdy klient musi tylko zaimportować na swoim komputerku jeden wspólnych dla wszystkich certyfikat danego ISP), tutaj nic nie potrzeba dodatkowo dorabiać, bo user to np nazwa hosta może być klienta, a hasło z pola hasło komputera klienta. ---- super bezpieczna la 802.1x z EAP-TLS no i w końcu można poszaleć, dla tych co chcą mieć super bezpiecznie i certyfikat per klient, no ale tutaj trzeba by dorobić kod do automatycznego generowania certyfikatów per klient i ich przechowywania bazie i bezpiecznej dystrybucji. Mając to lms byłby najchętniej używanym w wewnętrznych sieciach wifi wielu firm, które z reguły maja bzika na punkcie bezpieczeństwa. Ale raczej nie w sieciach isp :-) więc można sobie darować :_) bo nie sądzę że by się komuś chciało aż tak :-)
zatem proponuje pozostać przy wsparciu: 1. po mac adresie bo to sie o dziwo może niektórym jeszcze przydać 2. 802.1x + EAP-(PEAP/EAP-MSCHAPv2)lub EAP-TTLS
p.s. hmmm czy wykorzystać dla radiusa istniejące tabele do statystyk w lms jak sugeruje Tomek Chiliński. Nie jestem przekonany. Będzie to wtedy dosyć ścisła integracja radiusa z lms może nawet zbyt ścisła. Ja bym wolał aby do tych akurat tabel do których radius zapisuje nie mieszać z lms-owymi choćby po to żeby zmniejszyć prawdopodobieństwo nadpisania czegoś przez radiusa na skutek błędnej konfiguracji.
Dariusz Kowalczyk
!DSPAM:48002243308511660962268!