[FUG-BR] Duvida: Single Sign-on do 802.1x para proxy

Fabricio Lima listas em fabriciolima.com.br
Quarta Julho 15 14:50:25 BRT 2015


Ola pessoal,

Se eu tenho uma AP fazendo 802.1x para usuarios wireless
q joga pra um Radius q valida o usuario no AD
O 802.1x vai liberar um IP para o dispositivo movel atribuindo o IP para o
usuario DOMAIN\John

OK, conectado!
Mas para John navegar, ele faz nat no fw mas sou obrigado a gerar controles
por IP.
Ou manualmente especifico no dispositivo um proxy e tb so teria controles
por IP.

Voces conseguem pensar como controlar isso por usuario?
(so consigo imaginar uma 2a tela de autenticacao no proxy via html)

Minha duvida hj foi 'John acabou de digitar a senha para ingressar na rede
(EAP), pq nao seria possivel reaproveitar isso?'

Android e IOS nao suportam NTLM (entao nao daria pra nem pensar nessa linha)
Se for um notebook (nao creio q o browser consiga pegar esta credencial da
conexao, acho q 'ja expirou')

Seria isso mesmo? aquela informaçao q vale ouro, o login/senha foi usado e
em troca tenho um IP e sou obrigado a reautenticar um usuario por Web?
(sessao 802.1x expirou e ai ja era o login?)

Um pfSense fazendo o 802.1x permitiria ter controle por usuario?
(se ele fosse o default gw do wifi)

[ ]'s
Fabricio Lima
Sendmail administration is not black magic. There are legitimate technical
reasons why it requires the sacrifice of a live chicken.


Mais detalhes sobre a lista de discussão freebsd