@huziahmetov

Wi-Fi в офисе с логами доступа и авторизацией пользователей в AD?

Доброго времени.
Большое начальство требует покрыть офис вай-фай сетью, для доступа в сеть интернет с их личных телефонов/планшетов/лаптопов. Сами они конечно же говорят, что нужно купить зуксель кинетик, поставить у секретаря да будет счастье.
Мне такой вариант конечно же не нравится - я хочу организовать доступ так, чтобы каждый чих был отражен в логах, плюс не хочется вести отдельную базу пользователей когда есть АД. Речь идет пока что об одной точке доступа, без роуминга (но мне опять же хочется сделать решение с запасом для реализации этого самого роуминга в будущем).
Из оборудования есть пара микротиков, из софта сквид с настроенной нтмл авторизацией, ну и домен на вин2012р2. Как всё это связать в целую рабочую систему? Что поднять, что закупить?
  • Вопрос задан
  • 4879 просмотров
Пригласить эксперта
Ответы на вопрос 3
ifaustrue
@ifaustrue
Пишу интересное в теллеграмм канале @cooladmin
учитывая что пол дела сделано половина ПО и железа есть, можно посмотреть в сторону авторизации радиусом пользователей из домена на самих точках. Для этого:
1. Поднимаем роль Network Policy Server на любой виртуалке из домена, добавляете в него нужные политики, и клиентов радиуса (по айпишникам добавляете точки). Эти настройки гуглятся или вычисляются
2. На точках Микротик - поднимаете авторизацию WPA2-E по логин паролю.
3. На них же делаете редирект для HTTP трафика на squid - тем самым переключаете всё в режим прозрачного прокси
4. На сквиде настраиваете сбор статистики.

Всё будет работать безопаснее и гибче чем вариант с Керио, и чище с точки зрения лицензий. Но с настройкой придётся повозиться.
Ответ написан
gbg
@gbg
Баянист. Тамада. Услуги.
Готовое решение - Kerio Control. Он и учетки из AD берет, и логи ведет, и политиками управляет. Неплохой комбайн.

Деревенский роуминг - настроить на точках одинаковый SSID. Не-деревенский обычно означает покупку проприетарного решения (точки и контроллер) одного из вендоров.

Итого, вы выделяете сервер с двумя сетевыми картами, одну - "в мир", вторую - к точке, ставите на него Kerio, а на точке выключаете все (DNS, DHCP, NAT) - просто оставляете мост WiFi-Ethernet.
Ответ написан
oia
@oia
А не проще поднять гостевой вифи бездоступа вкорп сеть и поставить ограничения на полосу этой сетке
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы