[ dr_lafo @ 14.11.2018. 10:35 ] @
Pozdrav,
imam jednu dilemu oko organizovanja wifi-a u organizaciji. Organizacija se sastoji od 7 VLAN-ova ( Serveri, IT, Menadzment, itd. ) i plan je bio da se dodaju AP-ovi u celoj organizaciji i da se na njima kreiraju 2 HotSpot-a. Jedan za Goste i jedan za Poslovne korisnike. Gosti bi trebalo da imaju pristup samo http/https i eventualno pop3,imap,smtp ostalo bi sve bilo zabranjeno i taj Hotspot bi bio dodat na neki novi VLAN tako da se onemogući komunaikacija sa VLAN-ovima u okviru organizacije.

E sad, problem je kako organizovati Poslovni WiFi, koja je najbolja praksa? Da li i ceo Poslovni WiFi staviti na poseban VLAN koji bi imao pristup svim ostalim VLAN-ovima, koje portove otvoriti na Poslovnom WiFi-u ( mislim da bi to bio veliki sigurnosni rizik dati full pristup mreži WIFI korisnicima) ili da se možda napravi neka varijanta da u odnosu na lokaciju na kojoj je AP Poslovni WiFi preuzme njihov VLAN. Da li je to uopšte moguće?

Pošto u organizaciji imam preko 90% računara na linux-u i nemam aktivni Domain Controller koja je najbolja varijanta za upravljanje user-ima na mreži? Da li se može napraviti varijnta da username i password svakog korisnika bude njegov username i password i za Poslovni WiFi i šta je potrebno za tako nešto? Da li mora biti Domain Controller ili nesto drugo?

Unapred Zahvalan!
[ bachi @ 14.11.2018. 13:03 ] @
Za mene je poslovni wifi isto kao i klasičan lan uređaj, dakle, radna stanica u firmi. Onaj vlan u kome je radna stanica, taj vlan treba da bude i taj poslovni wifi. Poslovni wifi nije privatni mobilni uređaj od kolega, već je poslovni wifi poslovni laptop, wifi štampači i eventualno poslovni mobilni ako sa njega prati kamere unutar firme, pristupa resursima unutar same firme ili slično. Sve drugo ide wifi za goste, dakle i privatni laptopovi i privatni mobilni telefoni zaposlenih i wifi za goste treba da bude izolovan da ima samo izlaz na net, da se nema pristup ostalim vlanovima, niti ostali vlanovi da imaju pristup vlanu u kome su gosti. Ja ne ograničavam saobraćaj za wifi za goste, ali ograničavam protok po gostu.

Što se drugog dela pitaja tiče, to je komplikovanija priča i postiže se uz WPA(2)-enterprise, odnosno EAP. https://en.wikipedia.org/wiki/Extensible_Authentication_Protocol

Nije potreban aktivni direktorijum za to, ali jeste potreban RADIUS server koji je centralna tačka za autorizaciju korisnika i koji će u sebi sadržati korisničku bazu. Na taj način svaki zaposleni može da ima svoj username i password i u zavisnosti od korisničkog imena mu može biti dodeljen i na primer određeni VLAN u kome taj korisnik pripada. Naravno uz to je potrebna i AP oprema koja to podržava, mada verujem da to nije problem, kada ga podržava i buđavi tp link.

Da li ovo tebi treba to ćeš morati sam da odlučiš.
[ mjanjic @ 14.11.2018. 14:27 ] @
Htedoh i ja da pomenem Radius server, koji se, između ostalog, koristi npr. i za Eduroam (pa možeš da odeš na bilo koju akademsku instituciju u svetu koja ima Eduroam, imaćeš Wifi pristup internetu sa svojim nalogom), ali je navedeno da je sve pod Linux-om, tako da...
[ nkrgovic @ 14.11.2018. 15:33 ] @
Cisto dopunica, Radius moze da se autorizuje i na LDAP, a LDAP moze da bude i back-end za mnoge druge servise. Tako radi i ActiveDirectory, samo je ovo Linux i free resenje.

Inace, sve jasno: Racunar je u svom VLAN-u, bez obzira da li imas wireless ili wired, to je prirodno. Guest je odvojen VLAN. Mozes da uvedes i 802.1X dodatno, ako te ne mrzi, a WPA2-Enterprise je odlican pocetak. E sad, imas malo vise posla, ali... ;)
[ dr_lafo @ 16.11.2018. 07:50 ] @
Hvala drugari,
probacu sa RADIUS-om pa ako negde zapnem pisaću :D