Как авторизовывать сотрудников компании на wifi?

Question

[Obsession2049]

Суть такова:
Хочу авторизовывать пользователей в корпоративной Wi-Fi сети одноразовыми ваучерами.
Не каждый день, а на пример устроился человек на работу, ему необходим доступ в интернет в рамках работы. Он получает код/логин-пароль/qr(не важно), при авторизации по которому его устройство привязывается в сети и имеет постоянный доступ, на пример до увольнения, код "сгорает"(больше по нему авторизоваться нельзя). Автоматизация удаления - это уже второй процесс.
Для реализации есть микротики. Плодить кучу вланов для разных доступов не охота, это не лучшее решение, ловить каждого с телефоном тоже не вариант.

Answer 1

[Valentin Barbolin]

Если есть домен, то EAP и Radius.

Если нет домен и не хочется поднимать радиус, то на микроте можна для каждого указать свой уникальный PSK для доступа к wifi.

/interface wireless access-list
add comment=Jayden mac-address=5C:1D:D9:C3:C6:15 private-pre-shared-key=supersecretpasswordexample vlan-mode=no-tag

Comments

[Ziptar]

Да в общем проще уж на самом микроте radius поднять. С маками возня лишняя.

[Obsession2049]

да в идеале чтоб это было как на хотспоте, и желательно с одним полем ввода) народ сложный. тем более маков изначально я не знаю. суть то в том, чтоб при входе ключ/пароль-мароль привязывался намртво к маку, который авторизовался, чтоб нельзя было передать этот доступ другому человеку.

[Петровский]

> при входе ключ/пароль-мароль привязывался намртво к маку, который авторизовался
была такая возможность в микротиковском User Manager, причём и сбросить эту привязку можно было.

[Zerg89]

Obsession2049, Петровский, не стоит привязывать к маку, в современных android мак рандомизируется при подключении

[Петровский]

Zerg89, насколько слышал, этот рандомный адрес остаётся стабильным для сети в течение какого-то времени. Но да.

[Антон Соломонов]

Zerg89, это отключается в настройках подключения к конкретной сети

[Константин Фролов]

Антон Соломонов, уверен, пользователи не будут этого делать.

[Антон Соломонов]

Константин Фролов, те, кому нужен служебный wifi - сделают)

Answer 2

[Юрий MikroTik]

Нужна EAP авторизация через домен
По участию в группе безопасности выдается доступ, а проставив срок жизни учетной записи - доступ сам отвалится

Comments

[Obsession2049]

домен не имеет смысла в этом случае, это линейный персонал, а вот бекофис да, спасибо за идею, можно так отделаться.

[Pulso]

Obsession2049, что имеет смысл, а что не имеет определяют в первую очередь законы РФ. Эксплуатант канала Интернет обязан идентифицировать персонально (ПД) всех фактических пользователей.

Нравится вам или нет самым простым решением будет Radius/Enterprise, но не все точки/роутеры имеют совместимость с оным. Мы уходим с Микротов на Юнифай (при практически тойже стоимости стабильность и качество выше).

Альтернативой для линейного персонала будет поднятие SaaS Free WiFi с авторизацией через мобильный номер телефона (как в публичных центрах). Договоритесь с провайдером.

П.С. с конца 2024 дом.ру начал рассылать юрикам письма с требованием (пока не сильно законным) информировать его твсех сотрудниках, их ПД и мак адресах сидящих за предоставленным каналом. Удачи.

Answer 3

[AlexKMK]

Radius + Eap-tls с сертификатом. Т.к. с паролями для каждого юзера - замучаетесь.

Answer 4

[user0k]

У меня уже лет 5-6 крутится freeradius+eap+tls+mysql
Все логируется. По территории базы и офисам стоят unifi. Центральный маршрутизатор микротик. На нем написал апи для радиуса, чтобы в базу заносить ip сотрудников, которые шатаются по этажам.
Написал свой интерфейс для таких сотрудников - php+mysql+js
Простой красивый.
У каждого сотрудника свои логины и пароли.
Список сотрудников передается провайдеру.

Answer 5

[Gregory]

https://wiki.mikrotik.com/Manual:User_Manager
умеет по логину паролю , я так делал для гостиниц