我不知道这个想法是否荒谬,但我想知道这是否可行。我有一个由 LDAP 服务器支持的 FreeRadius 服务器,使用 EAP-TTLS(即用户名+密码)进行身份验证。因此,当用户连接到 802.1x 交换机时,他们通过查询用户名+密码的请求者连接与 LDAP 服务器中的请求者连接来获得访问权限。这部分没问题。
但是我想要的是,一旦授予此用户权限,就通过客户端证书区分“普通”用户和“管理员”用户,该证书将被 LDAP 服务器引用为属性,可从任何合适的位置(例如 NFS 服务器)下载,但前提是该用户属于“管理员”类型。然后,将使用该客户端证书(我不知道如何使用,这就是问题所在)请求访问另一个 FreeRadius 服务器,该服务器在这种情况下将使用 EAP-TLS 方法,因此“管理员”用户将被授予网络另一部分(其中将有另一种合理的服务器),而“普通”用户则不会被授予。
总结:我希望有一台 FreeRadius 服务器,允许访问用户访问局域网的第一个“视图”,还有另一台 FreeRadius 服务器(由前者代理?),该服务器将根据用户授予对局域网上另一个“更秘密”区域的访问权限。这可能吗?
多谢!!
答案1
在理想情况下,您可以使用支持带内凭证配置(如 X509 证书)的 EAP 方法(如 TEAP)来实现上述目标。遗憾的是,EAP-TEAP 及其前身 EAP-FAST 尚未得到广泛实施。
我知道您只是以此为例,但我绝对不会使用 NFS。即使请求方主机支持 NFS,也需要手动配置。我认为 HTTP(S) 是获取证书访问权限的更明显选择,因为它得到了广泛的支持,并且用户熟悉。
尝试创建某种后认证配置机制将非常困难。识别使用凭据登录的管理员并为他们分配一个 VLAN 相当简单,该 VLAN 仅提供对封闭式花园的访问权限(他们可以在其中下载管理员证书)。问题是封闭式花园本身正变得越来越成问题。
越来越多的网站正在切换到“默认安全”,这意味着用户首次尝试连接很可能是通过 https。无法像 http 流量一样重定向/重写 https 流量,因此很难无缝地将用户引导至围墙花园的登录页面。如果您确实想尝试围墙花园,则需要验证它是否适用于目标操作系统上的有线连接。
至于对不同的 EAP 方法使用不同的 RADIUS 服务器,那不是必需的。EAP 提供了一种方法协商机制。FreeRADIUS 中的相同 EAP 模块可以运行 EAP-TTLS 或 EAP-TLS。如果 EAP 模块默认请求 EAP-TLS,并且请求者有可用的证书并配置了 EAP-TLS,则将运行 EAP-TLS,否则请求者将协商 EAP-TTLS,并且将运行 EAP-TTLS。
但说实话,在初始身份验证后配置凭证对于帮助台来说简直就是一场噩梦。即使管理员设法访问、下载和导入他们的证书,他们也需要手动重新配置请求者才能使用它。
如果我要实现这个,我会完全放弃基于用户名/密码的身份验证,而是使用由cloudpath (现为 Ruckus)和其他。这些临时应用程序可以在同一操作中提供用户证书并为网络接口配置安全配置文件。您可以通过公共网站提供可分解的安装程序,并在用户入职期间引导用户访问它。
所有用户都会有类似的入职体验,但管理员可以通过特殊的 OID 或使用不同的中介 CA 获得可识别他们身份的证书。