Есть ли способ предоставить пользовательские пароли для Wi-Fi?

33

Есть ли способ предоставить пользовательские пароли для Wi-Fi, чтобы разные пользователи имели разные пароли?

Я хотел бы предоставить каждому пользователю свой пароль для подключения к Wi-Fi.

Джон
источник
8
Если у вас есть приличный Wi-Fi бизнес-класса и соответствующая инфраструктура, тогда вы сможете настроить свои точки беспроводного доступа для поддержки аутентификации RADIUS обратно в любую центральную службу аутентификации, которую вы используете. Если нет, выбросьте их и получите настоящие.
Роб Моир
Радиус аутентификации это единственный способ сделать это?
Джон
Это единственный «правильный» способ выполнения вещей, о котором я знаю, это не значит, что это единственный правильный способ выполнения действий или что не существует какой-либо беспроводной точки доступа, которая бы поддерживала создание как можно большего количества объектов. SSID, так как у вас есть пользователи, чтобы назначить им все свои пароли, или какой-то другой подобный хак.
Роб Моир
Я знаю, что некоторые модели внутренних маршрутизаторов допускают это, но это скорее уловка, чем полная функция.
AStopher
@cybermonkey, не могли бы вы поделиться информацией об этих моделях внутренних маршрутизаторов?
Бордрайдер

Ответы:

37

Вам нужен WPA-2 Enterprise в сочетании с сервером RADIUS для аутентификации пользователей.

Если у вас есть инфраструктура Active Directory, вы можете использовать роль сервера сетевой политики в Windows, чтобы выполнить аутентификацию и разрешить пользователям входить в систему со своим именем пользователя и паролем AD.

Марк Хендерсон
источник
Как бы я устроил это в общем доме, который я снимал для 6 человек? Например, мне просто нужно 7 входов в систему, но без особых затрат и усилий.
Ян Рингроз
В этом случае вы не можете.
drookie
@IanRingrose Если у вас в сети есть выделенный компьютер, который будет действовать как ваш сервер, то это вполне возможно. Для настройки сервера RADIUS доступно программное обеспечение, например, популярный FreeRADIUS .
Thebluefish
5
@IanRingrose то, что я делаю, это основывает безопасность вокруг определенных MAC-адресов устройств людей, а не самих людей. Все они имеют одинаковый пароль Wi-Fi, но это полезно, только если их MAC-адрес находится в белом списке. Также все правила использования и безопасности основаны на этих MAC. Это недостаточно безопасно для бизнес-настроек, поскольку MAC-адреса могут быть изменены и относительно легко подделаны, но в домашних условиях это низкий риск, так как люди вряд ли будут охотиться друг за другом по MAC-адресам и подделывать их, а случайный MAC-адрес не является полезно.
Андрей Савиных
2
С малиной пи работает hostapdи openldap?
Том О'Коннор
16

Другое возможное решение - настроить несколько SSID и предоставить отдельные пароли для каждого. Это не так элегантно, как иметь несколько паролей для одного и того же SSID, но это может сделать то же самое, и им будет легко управлять, если ваш маршрутизатор поддерживает несколько SSID.

Одним из таких маршрутизаторов является линейка Asus RT двухдиапазонных маршрутизаторов потребительского уровня (у меня RT-AC66U), которая поддерживает до трех «гостевых SSID» на полосу в дополнение к основным SSID. Каждый может иметь свою собственную политику аутентификации и доступа . Это даже позволяет отслеживать время использования каждого гостевого SSID.

Поскольку большинство людей пока не могут получить доступ к полосе 5 ГГц, вам, вероятно, потребуется 2 из этих маршрутизаторов, чтобы обеспечить достаточное количество точек доступа 2,4 ГГц для выполнения того, что вы хотите для 7 человек, но эти маршрутизаторы можно легко настроить как «AP- Только «режим», так что вы можете связать их вместе.

Альтернативная прошивка может обрабатывать больше SSID, хотя я не могу подтвердить это в данный момент.

допустимость пустых
источник
8

Я бы ответил на ваш вопрос другим вопросом ... что вы надеетесь получить, подключив каждого пользователя с использованием другого пароля? Это упражнение кажется мне несколько бессмысленным, если только вы не надеетесь присоединить какие-то сетевые политики к различным учетным данным, которые вы не упомянули в исходном вопросе.

Другие респонденты правы, WPA-Enterprise в сочетании с сервером RADIUS будет правильным способом для достижения этой цели, но это, вероятно, выходит за рамки того, что вы пытаетесь достичь.

Если вы хотите использовать разные имена пользователей, чтобы иметь возможность контролировать доступ для разных пользователей, не затрагивая других пользователей, вы можете вместо этого использовать фильтрацию MAC-адресов. Фильтрация MAC-адресов ни в коем случае не является надежной, но она будет иметь дополнительное преимущество, предотвращая совместное использование паролей среди пользователей.

Другой вариант - переместить все это из зоны действия WiFi и дальше в сеть. Вы можете рассмотреть возможность использования одного пароля WiFi и использования встроенного портала в сети для выполнения второго уровня аутентификации. Это можно сделать с помощью чего-то вроде m0n0wall ( http://m0n0.ch/wall/ ) относительно легко.

vrtigo1
источник
9
Что можно надеяться достичь: запретить доступ пользователю, которому вы больше не доверяете, без необходимости менять пароль для 99 оставшихся пользователей, которых вы все еще хотите разрешить.
RomanSt
1
+1 за плененный портал. Это может быть очень эффективным способом сделать это на потребительском Wi-Fi.
Марк Хендерсон
Вот как они это делают в большинстве отелей, в которых я был.
Мартин Аргерами
Пленный портал - это то, что нужно учитывать. Однако обратите внимание, что порталы-авторизаторы обычно аутентифицируются по MAC-адресу после входа в систему, так что это всего лишь более сложный способ настройки фильтрации MAC-адресов.
Слёске
1

Вам нужен сервер RADIUS! Но сегодня даже небольшие домашние маршрутизаторы имеют достаточно мощности, чтобы позволить это. У меня в доме родителей есть Asus RT-N65U и Asus RT-N56U с кастомной прошивкой и FreeRadius2. Вам нужно немного знаний Linux, чтобы настроить его! Маршрутизатор позволяет настроить сервер RADIUS в веб-интерфейсе. После того, как вы настроили один, вы просто вводите localhost там!

Josef
источник