Esiste un modo per fornire password specifiche dell'utente per il Wi-Fi?


33

Esiste un modo per fornire password specifiche dell'utente per il Wi-Fi, in modo che utenti diversi abbiano password diverse?

Vorrei fornire a ogni utente una password diversa per la mia connessione Wi-Fi.


8
Se disponi di un wifi di classe business decente e di un'infrastruttura adeguata, potresti essere in grado di configurare i tuoi punti di accesso wireless per supportare l'autenticazione RADIUS su qualunque servizio di autenticazione centrale che utilizzi. In caso contrario, buttali fuori e prendine quelli veri.
Rob Moir,

L'autenticazione del raggio è l'unico modo per fare così?
Giovanni

È l'unico modo "corretto" di fare cose di cui sono a conoscenza, il che non vuol dire che è l'unico modo corretto di fare le cose, o che non esiste un punto di accesso wireless là fuori che supporti la creazione di altrettante SSID come hai utenti al fine di assegnare loro tutta la propria password o qualche altro hack simile.
Rob Moir,

So che diversi modelli di router domestici lo consentono, ma è più un espediente che una funzionalità completa.
Dopo il

@cybermonkey, puoi condividere i dettagli di quei modelli di router domestici?
boardrider,

Risposte:


37

Ciò di cui hai bisogno è WPA-2 Enterprise , combinato con un server RADIUS per l'autenticazione degli utenti.

Se disponi di un'infrastruttura di Active Directory esistente, puoi utilizzare il ruolo Server criteri di rete in Windows per eseguire l'autenticazione e consentire agli utenti di accedere con il loro nome utente / password AD.


Come potrei installarlo in una casa condivisa che stavo affittando a 6 persone? Ad esempio, ho solo bisogno di 7 accessi, ma a costi o sforzi ridotti.
Ian Ringrose,

In questo caso non puoi.
drookie,

@IanRingrose Se in rete disponevi di una macchina dedicata che fungesse da server, è perfettamente possibile. È disponibile un software per configurare il tuo server RADIUS, come il famoso FreeRADIUS .
Thebluefish

5
@IanRingrose quello che faccio è basare la sicurezza su indirizzi MAC specifici dei dispositivi delle persone, non sulle persone stesse. Hanno tutti la stessa password wifi, ma è utile solo se il loro MAC è nella lista bianca. Inoltre, tutte le regole di utilizzo e sicurezza si basano su questi MAC. Non è abbastanza sicuro per le impostazioni aziendali, poiché gli indirizzi MAC possono essere modificati e falsificati relativamente facilmente, ma nelle impostazioni domestiche è un rischio basso, poiché è improbabile che le persone cerchino reciprocamente gli indirizzi MAC e li falsi e un indirizzo MAC casuale non lo è utile.
Andrew Savinykh,

2
Con un lampone pi in esecuzione hostapde openldap?
Tom O'Connor,

16

Un'altra possibile soluzione è quella di impostare più SSID e fornire password separate per ognuno. Non è elegante come avere più password per lo stesso SSID, ma realizzerebbe la stessa cosa e sarebbe facile da gestire se il router supporta più SSID.

Uno di questi router è la linea RT di Asus di router dual-band di livello consumer (ho l'RT-AC66U) che supporta fino a tre "SSID guest" per banda oltre agli SSID principali. Ognuno può avere le proprie politiche di autenticazione e accesso . Ciò consente anche di tenere traccia del tempo di utilizzo per ciascun SSID guest.

Poiché la maggior parte delle persone non è ancora in grado di accedere alla banda a 5 GHz, probabilmente avresti bisogno di 2 di questi router per fornire abbastanza punti di accesso a 2,4 GHz per fare ciò che desideri per 7 persone, ma questi router possono essere facilmente configurati come "AP- Solo "in modo da poterli raggruppare insieme.

Il firmware alternativo potrebbe essere in grado di gestire più SSID, anche se al momento non posso confermarlo.


8

Risponderei alla tua domanda con un'altra domanda ... cosa speri di ottenere se ogni utente si connette utilizzando una password diversa? L'esercizio mi sembra in qualche modo inutile a meno che tu non stia anche sperando di allegare una sorta di criteri di rete alle diverse credenziali che non hai menzionato nella tua domanda originale.

Altri intervistati sono corretti, WPA-Enterprise accoppiato con un server RADIUS sarebbe il modo corretto per raggiungere questo obiettivo, ma probabilmente non rientra nell'ambito di ciò che si sta tentando di realizzare.

Se desideri utilizzare nomi utente diversi per poter controllare l'accesso per utenti diversi senza influire su altri utenti, potresti invece utilizzare il filtro indirizzi MAC. Il filtro MAC non è assolutamente infallibile, ma avrebbe l'ulteriore vantaggio di impedire la condivisione delle password tra gli utenti.

Un'altra opzione è quella di spostare tutto questo fuori dall'ambito WiFi e ulteriormente nella rete. È possibile prendere in considerazione l'utilizzo di una singola password WiFi e l'utilizzo di un portale captive a monte della rete per eseguire un secondo livello di autenticazione. Ciò potrebbe essere realizzato con qualcosa come m0n0wall ( http://m0n0.ch/wall/ ) in modo relativamente semplice.


9
Cosa si potrebbe sperare di ottenere: negare l'accesso a un utente di cui non ci si fida più, senza dover cambiare la password per i 99 utenti rimanenti che si desidera ancora consentire.
Roman,

1
+1 per il portale captive. Questo potrebbe essere un modo molto efficace per farlo sul wifi dei consumatori.
Mark Henderson

È così che lo fanno nella maggior parte degli hotel in cui sono stato.
Martin Argerami,

Il portale captive è qualcosa da considerare. Tuttavia, si noti che i portali captive di solito si autenticano tramite l'indirizzo MAC una volta effettuato l'accesso, quindi questo è solo un modo più sofisticato di impostare il filtro MAC.
sleske,

1

Hai bisogno di un server RADIUS! Ma oggi, anche i piccoli router domestici hanno abbastanza potenza per consentirlo. Ho un Asus RT-N65U e un Asus RT-N56U a casa dei miei genitori con firmware personalizzato e FreeRadius2. Hai bisogno di alcune conoscenze di Linux per configurarlo! Il router consente di impostare un server RADIUS nell'interfaccia web. Dopo averne impostato uno, basta inserire localhost lì!

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.