[uanog] Колеги, хтось працює з MAC based VLANs та Radius/OpenLDAP, котрий видає ІР згідно MAC-addresses?

[Oleh Hrynchuk]

Всім привіт.

Задача: щоби прийшовши тіпа в гості на офіс ніяка хакерша не змогла
законектитись своїм девайсом до нашої офісної LAN.
І щоби devops'ам було зручно адмінити ААА-сервіси в офісній LAN.

Для цього хочу всю інфу про користувачів офісних сервісів (в т.ч. LAN)
тримати в OpenLDAP.

А чисто для LAN (пара Mikrotik CSS326 *без* 802.1x та iGS760i router)
прикрутити FreeRadius, котрий робив би AAA для ethernet-клієнтів, беручи
дані з OpenLDAP (зокрема MAC address, VLAN_ID etc). Можна так?

Якщо можна, то тоді FreeRadius для "своїх" езернет-клієнтів видавав би
static ІР-адреси та VLAN'и на основі МАС-адрес цих клієнтів. Для
wifi-гаджетів "своїх" клієнтів - динамічні ІР з окремого пулу і окрему VLAN.
А для усіх інших, "лівих" МАС-адрес, взагалі забороняв би вхід.

Може хтось щось підкаже де копати і з чого почати?
Дякую.


P.S. Чи виправдано для невеликого (до 100 робочих езернет-місць + 3-4 wifi
AP) офісу розгортати FreeIPA ?
Робочі місця: Ubuntulike OS - 70-80%, Windows (лише в QA) - 20-30%.

P.P.S. Чи може варто поставити UCS <https://www.univention.com/> і
налаштувати його?

-- 
Regards,
/oleh hrynchuk
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20210909/34ce985f/attachment.html>