Настроить Raspberry PI Access Point для использования RADIUS-аутентификации Apache?

Question

Я превратил Raspberry PI в беспроводную точку доступа, используя isc-dhcp-server и hostapd , что круто. Что я хотел бы сделать, это добавить форму аутентификации веб-страницы для сети, где я мог бы отображать такие вещи, как условия предоставления услуг и т.д.

В моем чтении я обнаружил, что способ сделать это с помощью сервера RADIUS. Я установил Freeradius, и он говорит, что все работает правильно, но я не совсем уверен, как я должен настроить свой DHCP-сервер, чтобы знать, что RADIUS должен обрабатывать аутентификацию.

У меня есть ощущение, что мне придется как-то отредактировать файл /etc/network/interfaces чтобы выполнить переключение, но я только частично понял документацию, которую нашел в man interfaces .

Как я могу настроить модуль веб-аутентификации? Возможно, с базой данных, где я мог бы использовать интерфейс PHP для входа в систему пользователей, но пока не обязательно. Просто ищу информацию, чтобы начать меня. Будем весьма благодарны за любые полезные ресурсы, руководства, учебные пособия, сообщения в блогах и другую информацию. Спасибо!

Ресурсы, которые я использовал

• https://learn.adafruit.com/setting-up-a-raspberry-pi-as-a-wifi-access-point/install-software

• http://binaryheartbeat.blogspot.com/2013/12/raspberry-pi-based-freeradius-server.html

Answer 1

RADIUS обычно используется как способ для AP использовать аутентификацию WPA2-Enterprise (802.1X), но передают фактическую аутентификацию стороны AP на отдельный сервер (сервер RADIUS). Вы настраиваете это в файле conf hostapd . Это не имеет ничего общего с DHCP или вашими /etc/network/interfaces .

Веб-аутентификация (также называемая "Captive Portal") - это отдельная концепция, и она в значительной степени взаимоисключающая с WPA2-Enterprise. Сетевая аутентификация требует, чтобы вы включали клиентов в основном без аутентификации, чтобы у них было достаточно сетевого подключения, чтобы их можно было перенаправить на веб-сервер. Аутентификация через Интернет на самом деле тоже не имеет ничего общего с DHCP, хотя вы, вероятно, хотите иметь DHCP-сервер в своей сети, чтобы беспроводные клиенты получали IP-адрес в аренду через DHCP, чтобы у них было достаточно сетевого подключения, чтобы попытаться добраться до веб-сервера.

Если вы хотите выполнить веб-аутентификацию, но использовать отдельный сервер аутентификации, вы должны сконфигурировать свою точку доступа для режима Captive Portal, а затем настроить свой веб-сервер для предоставления интерфейса аутентификации и ретранслировать эту попытку аутентификации на отдельную аутентификацию. сервер. Однако в мире веб-серверов гораздо чаще используется протокол LDAP, а не RADIUS, в качестве протокола удаленной аутентификации.