<div dir="ltr">Всім привіт.<div><br>Задача: щоби прийшовши тіпа в гості на офіс ніяка хакерша не змогла законектитись своїм девайсом до нашої офісної LAN.<br>І щоби devops'ам було зручно адмінити ААА-сервіси в офісній LAN.<br><br>Для цього хочу всю інфу про користувачів офісних сервісів (в т.ч. LAN) тримати в OpenLDAP.<br><br>А чисто для LAN (пара Mikrotik CSS326 <b>без</b> 802.1x та iGS760i router) прикрутити FreeRadius, котрий робив би AAA для ethernet-клієнтів, беручи дані з OpenLDAP (зокрема MAC address, VLAN_ID etc). Можна так?<br><br></div><div>Якщо можна, то тоді FreeRadius для "своїх" езернет-клієнтів видавав би static ІР-адреси та VLAN'и на основі МАС-адрес цих клієнтів. Для wifi-гаджетів "своїх" клієнтів - динамічні ІР з окремого пулу і окрему VLAN.</div><div>А для усіх інших, "лівих" МАС-адрес, взагалі забороняв би вхід.<br clear="all"><div><br>Може хтось щось підкаже де копати і з чого почати?<br>Дякую.<br></div><div><br><br>P.S. Чи виправдано для невеликого (до 100 робочих езернет-місць + 3-4 wifi AP) офісу розгортати FreeIPA ?</div><div>Робочі місця: Ubuntulike OS - 70-80%, Windows (лише в QA) - 20-30%.<br><br>P.P.S. Чи може варто поставити <a href="https://www.univention.com/" target="_blank">UCS</a> і налаштувати його?<br><br></div>-- <br><div dir="ltr" data-smartmail="gmail_signature"><div dir="ltr"><div>Regards,<br>/oleh hrynchuk</div></div></div></div></div>