ระบบการยืนยันตัวตนเข้าใช้งานเครือข่ายไร้สาย

ศุภวิทย์ วรรณภิละ สำนักบริกำรเทคโนโลยีสำรสนเทศ มหำวิทยำลัยเชียงใหม่ supawit.w@cmu.ac.th 1
ระบบการยืนยันตัวตนเข้าใช้งานเครือข่ายไร้สาย
แบบปลอดภัย(WPA/WPA2Enterprise) ด้วย
บัญชีผู้ใช้แบบรวมศูนย์บนMicrosoft Windows
Server Active Directory พร้อมทั้งการ
ลงทะเบียนหมายเลขMAC Address แบบ
อัตโนมัติ:กรณีศึกษามหาวิทยาลัยเชียงใหม่
เวอร์ชันปรับปรุง2558
ความเป็นมา
มหำวิทยำลัยเชียงใหม่ได้ทำกำรให้บริกำรเครือข่ำยไร้สำยในชื่อ Jumbo-Net โดยแต่เดิมให้บริกำรชื่อจุดเชื่อมต่อ 3
จุดคือ Jumbo-Net, Jumbo-Secure และ Jumbo-Register ซึ่ง Jumbo-Register ใช้ในกำรลงทะเบียนอุปกรณ์เพื่อใช้งำน
Jumbo-Secure ซึ่งใช้ระบบรักษำควำมปลอดภัยแบบ WPA/WPA2 Enterprise เพื่อสร้ำง key และลงทะเบียน MAC
Address ส่วน Jumbo-Net เป็นแบบเปิดและเข้ำใช้งำนด้วยกำรยืนยันตัวตนผ่ำนหน้ำเว็บ(Web-based Authentication)
ซึ่งไม่ค่อยมีควำมปลอดภัย

ปัญหาและแนวทางแก้ไข
เนื่องจำกมหำวิทยำลัยเป็นสถำนที่เปิดมีบุคคลทั่วไปเข้ำออกเป็นจำนวนมำกและในยุคที่ทุกคนต้องกำรกำรเชื่อมต่อ
อินเทอร์เน็ตตลอดเวลำผ่ำนโทรศัพท์มือถือและอุปกรณ์ต่ำงๆ กำรใช้งำนแบบ web-based authentication จึงไม่เหมำะสม
และเกิดปัญหำคือ
1. อุปกรณ์จำนวนมำกรวมถึงบุคคลภำยนอกที่เข้ำมำภำยในมหำวิทยำลัย ได้ทำกำร associate เข้ำกับ SSID แต่ไม่ได้
ทำกำรยืนยันตัวตน ทำให้อุปกรณ์เครือข่ำยไร้สำยต้องรับภำระงำนเพิ่มขึ้นกระทบผู้ใช้ภำยใน รวมถึงมีควำมเสียงด้ำน
ควำมปลอดภัยเนื่องจำกไม่ได้เข้ำรหัสสัญญำณ
2. อุปกรณ์ที่ต้องกำรเชื่อมต่ออินเทอร์เน็ตประเภทโทรศัพท์มือถือหรือแท็บเล็ตไม่สะดวกต่อกำรเชื่อมต่อแบบ web-
based authentication เหมำะกับ WPA มำกกกว่ำ ระบบเดิมสำมำรถลงทะเบียน MAC address เพื่อใช้งำนได้
แค่อุปกรณ์เดียวซึ่งผู้ใช้มีอุปกรณ์หลำยอุปกรณ์ที่ต้องกำรเชื่อมต่ออินเทอร์เน็ตอยู่ตลอดเวลำ
จึงมีแนวคิดยกเลิกกำรให้บริกำรแบบ web-based authentication และเพื่อให้ง่ำยต่อกำรบริหำรจัดกำรและประสบกำรณ์
กำรใช้งำนของผู้ใช้ที่ดีขึ้นจึงจำเป็นต้องให้ผู้ใช้บริกำรแบบ WPA ทั้งหมดและยืนยันตัวตนด้วยบัญชีผู้ใช้ CMU IT Account ซึ่ง
เป็นอีเมลของมหำวิทยำลัยฯ เพื่อให้เกิดเป็น Centralized Authentication ที่ใช้บัญชีเดียวกันกับทุกบริกำร และสำมำรถ
ควบคุมจำนวนอุปกรณ์ของผู้ใช้ได้จึงได้มีกำรเปลี่ยนแปลงกำรให้บริกำรโดยยกเลิก SSID Jumbo-Net เดิมที่เป็น web-based
authentication และเปลี่ยนชื่อ SSID Jumbo-Secure มำเป็น @JumboPlus ซึ่งเป็น WPA-Enterprise และปรับปรุง
เว็บไซต์ https://jumbo.cmu.ac.th ให้รองรับกำรลงทะเบียน MAC address โดยผู้ใช้งำนสำมำรถลงทะเบียนใช้งำนได้
Connect Jumbo-Register
Configure device
(WPA/WPA2 Enterprise)
use KEY to connect
Jumbo-Secure
Connect Jumbo-Net
then redirect to web-
based authentication
Log in to website then
Register MAC and
generate KEY
Internet Internet

สูงสุด 5 อุปกรณ์หลังจำกเปลี่ยนมำใช้งำน @JumboPlus และปิด Jumbo-Net ไปเมื่อต้นเดือนธันวำคม 2556 จะเห็นว่ำ
ภำระงำนของหน่วยประมวลผลอุปกรณ์ควบคุมกำรทำงำนเครือข่ำยไร้สำยลดลง

แต่กำรปิดระบบ web-based authentication ซึ่งผู้ใช้คุ้นเคย จะต้องเตรียมคู่มือไว้ให้พร้อมเนื่องจำก WPA นั้นต้องมีกำรตั้ง
ค่ำที่อุปกรณ์ก่อนในครั้งแรกซึ่งคู่มือและเครื่องมือในกำรช่วยตั้งค่ำบนอุปกรณ์ต่ำงๆ ในระบบปฏิบัติต่ำงเช่น iOS, Android,
Windows Phone, Windows XP, Windows Vista, Windows 7 , Windows 8 , OSX, Black Berry OS ก็ต้องเผยแพร่
บนเว็บไซต์ให้ครบถ้วน
ปรับปรุง 2558
กำรแก้ปัญหำจำก web authentication มำเป็น WPA-Enterprise นั้นได้เกิดปัญหำเกี่ยวกับกำรใช้งำนเพิ่มขึ้นมำ
นั่นก็คือผู้ใช้งำนต้องเข้ำสู่ระบบทำงเว็บไซต์เพื่อลงทะเบียน mac address ก่อน ซึ่งผู้ใช้ส่วนจะเกิดควำมสับสนไม่รู้ว่ำ mac
address คืออะไร ทำให้ใช้งำนไม่ได้ จึงต้องทำกำรปรับปรุงให้ระบบลงทะเบียน mac address ให้ผู้ใช้โดยอัตโนมัติและผู้ใช้
สำมำรถเข้ำสู่ระบบเพื่อลบอุปกรณ์เดิมออกเมื่อจำนวนอุปกรณ์ครบกำหนดและต้องกำรใช้อุปกรณ์ใหม่
บัญชีผู้ใช้ไอทีมหาวิทยาลัยเชียงใหม่(CMU IT Account)
มหำวิทยำลัยเชียงใหม่ได้ใช้ Microsoft Windows Active Directory ในกำรจัดเก็บบัญชีผู้ใช้ซึ่งเป็นบัญชีเดียวกัน
กับอีเมลของบุคลำกรและนักศึกษำ กำรยืนยันตัวตนบนระบบเครือข่ำยไร้สำยก็ใช้บัญชี CMU IT Account โดย CMU IT

Account จะมีเว็บไซต์ https://account.cmu.ac.th เป็นทั้ง Front-End สำหรับผู้ใช้ในกำรสร้ำงและจัดกำรบัญชี และ
Back-End สำหรับผู้ดูแลระบบในกำรจัดกำรบัญชี บัญชีที่ถูกสร้ำงขึ้นจะได้รับกล่องข้อควำมอีเมลโดยอัตโนมัติ
ทดลองปฏิบัติการตั้งค่า freeradius เพื่อให้ตรวจสอบและลงทะเบียน mac address
ให้ผู้ใช้โดยอัตโนมัติรวมถึงยืนยันตัวตนผู้ใช้กับบัญชีบน Active Directory และการ
จัดการอุปกรณ์
ระบบปฏิบัติการ
1. Active Directory ใช้ Microsoft Windows Server 2012 R2
2. Network Policy and Access Server ใช้ Microsoft Windows Server 2012 R2
3. feeradius ใช้ Ubuntu 14.04LTS
CMU Mail
Active Directory
(AD, LDAP, RADIUS)
Web Apps Wi-Fi
Exchange 2013 on
premise
Office 365 on cloud

การเชื่อมต่อ
หลักการทางาน
1. เครื่อง NPS เชื่อมต่อเข้ำกับ AD เพื่อใช้งำนบริกำรยืนยันตัวตนกับบัญชีบน AD
2. ตั้งค่ำ RADIUS Proxy ให้ตรวจสอบฐำนข้อมูล MAC Address และลงทะเบียน MAC Address ของผู้ใช้ก่อนแบ่ง
ภำระงำนไปยืนยันตัวตนที่ NPS ผ่ำน protocol radius
3. ตั้งค่ำ Wi-Fi Controller หรือ Wi-Fi Access point ให้มำยืนยันตัวตนที่ RADIUS Proxy
ตั้งค่า Network Access Policy Service สาหรับการยืนยันตัวตนผ่าน protocol radius ด้วยบัญชีบน
Active Directory
1. ใน work shop นี้จะไม่กล่ำวถึงกำรติดตั้ง Active Directory ซึ่งจะมี Active Directory เตรียมไว้ให้แล้ว
2. หลังจำก Sign In เข้ำสู่ Windows Server แล้วให้ทำกำรตั้งค่ำทั่วไป เช่น ip address, time zone โดย ip
address ให้ระบุเป็น ip address ของเครื่อง Active Directory
radius
Protocol
;
AD
Protocol
AD
NPS
NPS freeradius
radius Proxy
Load balance
validate + auto
register mac address
MYSQL (MAC
Address database)
Wi-Fi
radius
Protocol

3. ตั้งค่ำเครื่อง NPS ให้ join domain โดยไปที่ Server Manager -> Local Server คลิกที่ชื่อของเครื่อง
จะพบ dialog System Properties กด Change
ระบุชื่อเครื่องและโดเมนจำกนั้นกด OK และระบุ username/password ของ Domain Administrator กด OK

และ Close ระบบจะให้ restart ให้ restart server
4. Sign In server ด้วย Domain Administrator จำกนั้นทำกำรเพิ่ม Role NPS โดยไปที่ Server Manager ->
Add roles and features
จำกนั้นกด Next 3 ครั้ง เลือก Network Policy and Access Services แล้วกด Add Features แล้วกด Next 4

ครั้งแล้วกด Install รอจนกว่ำจะติดตั้ง role เสร็จ
5. นำเข้ำ Key Pair สำหรับกำรใช้งำนเข้ำรหัส PEAP กด Windows+R พิมพ์ mmc แล้ว Enter เพื่อเรียก console
จำกนั้นไปที่ File -> Add/Remove Snap-in ในส่วนของ Available Snap-in เลือก Certificates กด Add ที่
dialog Certificate Snap-in เลือก Computer Account จำกนั้นกด Next เลือก Local Computer แล้วกด
Finish และกด OK

คลิกขวำที่ Personal เลือก All Tasks -> Import กด Next -> Browse ที่ address bar ให้พิมพ์
dc.cnoc.cmuNETLOGON เลือก All File(*.*) แล้วเลือก auth0.cnoc.cmu แล้วกด Open กด Next ระบุ
หรัสผ่ำนของ Key Pair เป็น cnoc1234 กด Next สองครั้งแล้ว Finish
*หมำยเหตุ สำมำรถสร้ำง Key Pair ได้หลำยทำง เช่นสร้ำง Self-Sign Certificate
http://windowsitpro.com/blog/creating-self-signed-certificates-powershell

6. เชื่อม NPS เข้ำกับ Active Directory ที่ Server Manager เมนู Tools เลือก Network Policy Server คลิกขวำ
ที่ NPS(Local) เลือก Register server in Active Directory
7. สร้ำง Policy สำหรับกำรยืนยันตัวตนเลือก RADIUS server for 802.1X Wireless or Wired Connections
จำกนั้นกด Configure 802.1X

Type of 802.1X connections เลือกเป็น Secure Wireless Connections แล้วกด Next

ที่ Specify RADIUS Switch กด Add จำกนั้นระบุค่ำ RADIUS Client ให้ตรงกับค่ำ Radius Proxy และกำหนดค่ำ
Share Secret จำกนั้นกด OK แล้ว Next

เลือก Type เป็น Microsoft: Protected EAP (PEAP) จำกนั้นกด Configure

เลือก Certificate เป็น auth0.cno.cmu แล้วกด OK แล้วกด Next 3 ครั้งแล้วกด Finish

8. สำมำรถแก้ไขกำรตั้งค่ำต่ำงๆ ของ Policy ได้ที่ NPS -> Policy -> ชื่อ จำกนั้นให้ดับเบิ้ลคลิกที่ชื่อ Policy
กำรตั้งค่ำเงือนไขกำรเข้ำใช้งำนโดยยกเลิกประเภทของอุปกรณ์ปลำยทำงจำกที่รับเฉพำะ 802.11 เป็นอุปกรณ์ใดๆ

กำรตั้งค่ำให้รองรับกำรยืนตัวตนแบบไม่เข้ำรหัสรหัสผ่ำนสำหรับใช้งำนที่ไม่ใช่กำรยืนยันตัวตนแบบ PEAP

ตั้งค่าเครื่อง RADIUS Proxy เพื่อตรวจสอบฐานข้อมูล MAC Address และการ Load Balance
1. ที่เครื่อง RADIUS Proxy ติดตั้ง package ดังนี้
2. สร้ำงฐำนข้อมูลสำหรับ freeradius และนำเข้ำโครงสร้ำงตำรำง
apt-get install freeradius freeradius-mysql mysql-server mysql-client
echo “CREATE DATABASE freeradius CHARACTER SET utf8 COLLATE utf8_general_ci;” |
mysql –uroot –pqwerty
mysql –uroot –pqwerty freeradius < /etc/freeradius/sql/mysql/schema.sql
wget http://myweb.cmu.ac.th/supawit.w/mac_auth_v58/mac.sql
mysql –uroot –pqwerty freeradius < mac.sql

3. แก้ไขไฟล์ /etc/freeradius/sql.conf ส่วนที่เชื่อมต่อกับฐำนข้อมูล
4. แก้ไขไฟล์ /etc/freeradius/radiusd.conf เพื่อให้ freeradius เก็บ log กำรยืนยันตัวตน และเปิดใช้งำน
ฐำนข้อมูล
5. เพิ่ม realm สำหรับโดเมนขององค์กรและทำ pool ของ radius สำหรับกำร Load Balance โดยกำรเพิ่มท้ำยไฟล์
/etc/freeradius/proxy.conf
server = "localhost"
login = "root"
password = "qwerty"
radius_db = "freeradius"
…
num_sql_socks = 50 // ปรับให้เหมาะสมกับปรริมาณ Load ปละปรับให้สอดคล้องกับ my.cnf
log {
...
auth = yes
...
}
...
modules {
...
$INCLUDE sql.conf // ยกเลิก comment
...
home_server nps1 {
type = auth
ipaddr = [ip address ของ nps ตัวที่ 1]
port = 1812
secret = cnoc1234
response_window = 20
zombie_period = 40
status_check = request
username = "user1@cnoc.cmu"
password = "don't need"
check_interval = 30
num_answers_to_alive = 3
}

6. แก้ไขไฟล์ /etc/freeradius/policy.conf สำหรับกำรอัพเดท load balance key ให้เป็น MAC Address โดย
กำรเพิ่มบรรทัดดังนี้ก่อนวงเล็บปีกกำปิดท้ำยไฟล์
7. แก้ไขไฟล์ /etc/freeradius/site-enables/default ในส่วน authorize เพื่อตรวจสอบ MAC address จำก
ฐำนข้อมูลว่ำมี MAC address อยู่ในฐำนข้อมูลหรือมี MAC address เกินกว่ำที่กำหนด(ในที่นี้คือจำกัดที่ 5
อุปกรณ์) และอัพเดท load balance key ในส่วน accounting ให้ยกเลิกบันทึกข้อมูล accounting ลงไฟล์แต่
บันทึกลงฐำนข้อมูลแทน ในส่วน post-auth ให้ทำกำรเพิ่ม MAC address ลงฐำนข้อมูลเมื่อผ่ำนกำรยืนยันตัวตน
home_server nps2 {
type = auth
ipaddr = [ip address ของ nps ตัวที่ 2]
port = 1812
secret = qwerty1234
response_window = 20
zombie_period = 40
status_check = request
username = "user1@cnoc.cmu"
password = "don't need"
check_interval = 30
num_answers_to_alive = 3
}
home_server_pool nps {
type = keyed-balance
home_server = nps1
home_server = nps2
}
realm cnoc.cmu {
auth_pool = nps
nostrip
}
update_load_balance_key {
update control {
Load-Balance-Key := "%{Calling-Station-Id}"
}
}

หรืออัพเดทค่ำวันที่ที่เข้ำสู่ระบบกรณีเป็น MAC address ที่มีอยู่ในฐำนข้อมูลแล้วผ่ำน shell script
…
authorize {
…
sql
if("%{realm}" == "cnoc.cmu"){
update_load_balance_key
rewrite.calling_station_id
if("%{sql:SELECT COUNT(*) FROM mac WHERE username = '%{User-Name}'
AND macaddress = '%{Calling-Station-Id}'}" > 0 || "%{sql:SELECT COUNT(*) FROM mac
WHERE username = '%{User-Name}'}" < 5){
eap {
ok = return
}
}
else{
%{exec:/etc/freeradius/maclog.sh %{User-Name} %{Calling-Station-Id}}
reject
}
}
…
accounting {
…
# detail // comment
…
sql
…
}
……
post-auth {
….
exec
if("%{realm}" == "cnoc.cmu"){
%{exec:/etc/freeradius/add_mac.sh %{User-Name} %{Calling-Station-Id}}
}
….
}

8. ดำวน์โหลด shell script ที่ใช้ในกำรเพิ่ม MAC address ลงฐำนข้อมูลและ log MAC address ลงฐำนข้อมูล และ
แก้ไข username และรหัสผ่ำนในไฟล์ add_mac.sh ให้ถูกต้อง
9. เพิ่ม client แก้ไฟล์ /etc/freeradius/clients.conf เพื่ออนุญำตให้อุปกรณ์ Access point หรือ Wi-Fi
controller ส่งข้อมูลมำขอยืนยันตัวตนได้
10. แก้ไขไฟล์ /etc/logrotate.d/freeradius เพื่อ restart freeradius หลังจำก rotate log
11. restart service freeradius
12. กรณีเกิดปัญหำในกำรตั้งค่ำสำมำรถดู log ได้ที่ไฟล์ /var/log/freeradius/radius.log หรือ debug อย่ำง
ละเอียดด้วยคำสั่ง
ติดตั้งเว็บไซต์สาหรับลงทะเบียน MAC address
1. บนเครื่อง RADIUS proxy ติดตั้ง package ดังนี้
cd /etc/freeradius
wget http://myweb.cmu.ac.th/supawit.w/mac_auth_v58/add_mac.sh
wget http://myweb.cmu.ac.th/supawit.w/mac_auth_v58/maclog.sh
chown freerad:freerad add_mac.sh
chown freerad:freerad maclog.sh
chmod 750 add_mac.sh
chmod 750 maclog.sh
client 10.72.0.x { // ip address ของ Access point หรือ Wi-Fi controller
secret = cnoc1234
shortname = AP
}
จำก
/etc/init.d/freeradius reload > /dev/null
เป็น
service freeradius restart > /dev/null
service freeradius restart
freeradius -X
apt-get install apache2 php5 php5-cli php5-curl php5-mysql php5-ldap zip unzip

2. ดำวน์โหลดและติดตั้งเว็บไซต์สำหรับกำรลงทะเบียน MAC address
3. แก้ไขไฟล์ /var/www/html/mac_manage/controls/config.php เพื่อตั้งค่ำให้ถูกต้อง
4. ดำวน์โหลด script สำหรับกำรระบุผู้ผลิตของ Mac Adress
5. ตั้งค่ำกำรเชื่อมต่อฐำนข้อมูลโดยแก้ไขไฟล์ /root/scripts/update_mac_vendor.php
cd /var/www/html
wget http://myweb.cmu.ac.th/supawit.w/mac_auth_v58/mac_manage.tar.gz
tar zxvf mac_manage.tar.gz
<?php
define('DB_HOST','localhost'); // ip หรือ host name ของเครื่องฐานข้อมูล
define('DB_USER','root'); // username ของฐานข้อมูล
define('DB_PASS',"qwerty"); // รหัสผ่านของฐานข้อมูล
define('DB_NAME','freeradius'); // ชื่อฐานข้อมูล
define('QUOTA',5); // จานวนอุปกรณ์ต่อบัญชี
define('AD_HOST','ad.cnoc.cmu'); // ip หรือ host name ของ Active Directory
?>
mkdir /root/scripts
cd /root/scripts
wget http://myweb.cmu.ac.th/supawit.w/mac_auth_v58/update_mac_vendor.zip
unzip mac_vendor.zip
<?php
define('DB_HOST','localhost'); // ip หรือ host name ของเครื่องฐานข้อมูล
define('DB_USER','root'); // username ของฐานข้อมูล
define('DB_PASS',"qwerty"); // รหัสผ่านของฐานข้อมูล
define('DB_NAME','freeradius'); // ชื่อฐานข้อมูล
?>

6. ตั้งค่ำให้ script ทำงำนทุก 10 นำทีโดยใช้คำสั่ง crontab –e
7. เรียกใช้งำนเว็บไซต์ผ่ำน http://<radius-proxy-ip-address>/mac_manage จะเข้ำสู่หน้ำเว็บไซต์ลงทะเบียน
MAC address และเข้ำสู่ระบบด้วยบัญชีบน Active Directory อุปกรณ์จะเพิ่มอัตโนมัติเมื่อผู้ใช้งำนเข้ำสู่ระบบ
สำเร็จ และเมื่อจำนวนอุปกรณ์ครบจะไม่สำมำรถใช้งำน WiFi ได้อีกต้องทำกำรลบอุปกรณ์ที่ไม่ใช้งำนออกก่อน
*/10 * * * * /usr/bin/php /root/scripts/update_mac_vendor.php > /dev/null 2>&1

ตัวอย่างการตั้งค่า Access point
1. ตัวอย่ำงเป็น Linksys WAP54G ให้ตั้งค่ำ Security Mode เป็น WPA-Enterprise และ Encryption เป็น AES
ในส่วนของ RADIUS Server ให้ตั้งค่ำให้สอดคล้องกับ RADIUS Proxy ตำมที่ได้ตั้งค่ำ client และ secret key ไว้

ในไฟล์ /etc/freeradius/clients.conf
ข้อเสนอแนะ
ในเอกสำรฉบับนี้ได้แสดงถึงแนวทำงกำร implement ระบบยืนยันตัวตนแบบรวมศูนย์โดยใช้บัญชีของ Active
Directory ซึ่งคิดว่ำเป็นที่นิยมขององค์กรต่ำงๆ แต่ขอละกำร implement Active Directory ไว้ กล่ำวถึงเฉพำะส่วนของ
freeradius ซึ่งก็ยังเป็นแนวทำงคร่ำวๆ กรณี implement จริงจะต้องมีหลำยส่วนที่ต้องทำเช่น
1) กำรตั้งค่ำ firewall เพื่อให้ freeradius ติดต่อกับ Active Directory ได้หรือ client ติดต่อกับ freeradius ได้
2) กำรตั้งค่ำ web server ของเว็บไซต์ลงทะเบียน MAC address ควรใช้ SSL(https) เนื่องจำกต้องเข้ำสู่ระบบด้วย
บัญชีที่เป็นบัญชีแบบรวมศูนย์ต้องเข้ำรหัส รวมถึงชื่อโดเมนควรตั้งให้สะดวกแก่กำรใช้งำน
3) สำมำรถนำเครื่อง RADIUS และ RADIUS Proxy มำรวมกันได้ หรือเพิ่มจำนวนเครื่อง RADIUS ตำมต้องกำรได้ หรือ
ใช้วิธีกำรอื่นในกำรทำ Load-Balance ได้
4) เว็บไซต์ลงทะเบียนควรมีคู่มือกำรเชื่อมต่อสำหรับ platform ต่ำงๆให้ผู้ใช้เนื่องจำกกำรเชื่อมต่อ Wi-Fi แบบ WPA มี
ขั้นตอนที่ยุ่งยำกกว่ำแบบ Web-based Authentication เว็บลงทะเบียนในเอกสำรนี่เป็นตัวอย่ำง สำมำรถนำไป
แก้ไขดัดแปลงให้เข้ำกับแต่ละองค์กรได้เช่นเว็บลงทะเบียนของมหำวิทยำลัยเชียงใหม่ https://jumbo.cmu.ac.th
5) กำรเก็บ log ต้องทำให้ครบถ้วนตำมกฎหมำย ต้องเก็บส่วนอื่นๆ เพิ่มเช่น dhcp log
6) กำรจำกัดกำรใช้งำนต้องทำร่วมกับอุปกรณ์อื่นที่รองรับโดยสำมำรถใช้ข้อมูลจำกฐำนข้อมูล freeradius ตำรำง
radacct ได้

7) กรณีระบบใหญ่ๆ ที่มีผู้ใช้งำนมำกจะเกิดภำระงำนที่ server ที่ใช้เชื่อมต่อกับฐำนข้อมูลค่อนข้ำงมำกต้องมีกำรแยก
server เป็นหลำยๆ ตัว เช่น
RADIUS PROXY
LOAD BALANCE
10.200.0.60
RADIUS MAC AUTH/REGISTER
10.200.0.58
RADIUS AUTH
RADIUS MAC AUTH/REGISTER
10.200.0.62
NPS
10.200.0.118
NPS
10.200.0.117
MYSQL
202.28.247.60
RADIUS AUTH RADIUS AUTH
RADIUS ACCT SQL
MYSQL
WEB MANAGE DEVICE
MYSQL
WIFI CONTROLLER
ACCESS POINT
RADIUS AUTH+ACCT

8) กำรปรับแต่งฐำนข้อมูลเป็นเรื่องสำคัญในกรณีที่มีผู้ใช้งำนจำนวนมำกเนื่องจำกจะมีกำร Insert หรือ Update
ระเบียนในตำรำงอยู่ตลอดเวลำอำจจะใช้เครื่องมือเช่น mysqltuner ในกำรช่วยปรับแต่งฐำนข้อมูลให้เหมำะสม

ผู้เขียน
ศุภวิทย์ วรรณภิละ
สำนักบริกำรเทคโนโลยีสำรสนเทศ มหำวิทยำลัยเชียงใหม่
supawit.w@cmu.ac.th
แหล่งข้อมูล
- https://www.eduroam.us/node/44
- http://www.cisco.com/c/en/us/support/docs/wireless/5500-series-wireless-
controllers/115988-nps-wlc-config-000.html
- http://wiki.freeradius.org/guide/Mac-Auth

ระบบการยืนยันตัวตนเข้าใช้งานเครือข่ายไร้สาย

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (13)

Similar to ระบบการยืนยันตัวตนเข้าใช้งานเครือข่ายไร้สาย

Similar to ระบบการยืนยันตัวตนเข้าใช้งานเครือข่ายไร้สาย (20)

ระบบการยืนยันตัวตนเข้าใช้งานเครือข่ายไร้สาย