NxFilter Tutorial
  • EN English
  • DE Deutsch
  • ES Español
  • FR Français
  • IT Italiano
  • JP 日本語
  • BR Português
  • RU Русский
  • TR Türkçe
Single sign-on tramite 802.1X
NxFilter supporta il single sign-on tramite l'autenticazione Wi-Fi 802.1X con il server di accounting RADIUS integrato. È possibile avere il single sign-on per smartphone e altri dispositivi mobili nella rete. Poiché è possibile importare utenti e gruppi da Active Directory, Google G Suite LDAP, è possibile far apparire i propri utenti su NxFilter con le loro su NxFilter con i loro nomi AD o Google.

Come funziona
Utilizziamo il protocollo di accounting RADIUS per raccogliere i nomi utente dall'autenticazione Wi-Fi. NxFilter funziona come un server di contabilità RADIUS e bisogna impostare il router Wi-Fi in modo che invii le richieste di accounting RADIUS a NxFilter. Una cosa da notare è che NxFilter non esegue l'autenticazione RADIUS da solo. L'autenticazione RADIUS si effettua con il proprio server di server di autenticazione. Se si è in un ambiente Active Directory, il server di autenticazione sarà il server Windows Policy Server. Network Policy Server di Windows.

È possibile testare NxFilter come server di accounting RADIUS utilizzando uno strumento come NTRadPing.

Opzioni della GUI
Dopo aver modificato queste opzioni nella GUI, è necessario riavviare NxFilter.

- Accounting Port

La porta su cui si ricevono le richieste di accounting RADIUS. Noi usiamo UDP/1813 per impostazione predefinita.

- Shared Secret

Stringa segreta condivisa per il router Wi-Fi per comunicare con NxFilter.

- Enable Logout

Distrugge la sessione di login dell'utente quando il tipo di stato di una richiesta di accounting è 'Stop'.

- Auto-register for New User

Quando c'è un nome utente sconosciuto a NxFilter, è possibile creare automaticamente un utente con il nome utente sconosciuto.

- Default Group for New User

È possibile impostare un gruppo predefinito per gli utenti appena creati.

- Local Domain

Quando si ricevono i nomi utente in un modulo e-mail (uname@mydomain.loal), è possibile specificare i domini da rimuovere. Per impostazione predefinita, NxFilter rimuove sempre la parte del dominio dal nome utente di un modulo e-mail.

- Use RADIUS

Eseguire server account RADIUS.

Integrazione di Active Directory
Per prima cosa, importare utenti e gruppi da Active Directory su User > Active Directory. Successivamente, è necessario configurare il server di accounting RADIUS integrato di NxFilter su User > RADIUS. Per lo più non è necessario modificare nulla, tranne il segreto condiviso. Infine, si implementa l'autenticazione 802.1X con il router Wi-Fi e Windows NPS (Network Policy Server).

Per configurare Windows NPS, leggere la parte relativa all'impostazione di NPS di Gestione dell'autenticazione RADIUS con UniFi

Questa è l'immagine di cattura della nostra configurazione NPS.

Questa è l'immagine di acquisizione della configurazione del nostro router Unifi.

Ritardo del primo contatto
Ci saranno diversi secondi di ritardo per ricevere la prima richiesta di accounting RADIUS dopo l'accesso di un utente tramite autenticazione Wi-Fi. Un problema è che gli utenti potrebbero essere bloccati da NxFilter come utenti non autenticati. La soluzione consiste nel creare un utente predefinito che associ un intervallo IP che copra tutti gli indirizzi IP della rete. Gli utenti autenticati con Wi-Fi appariranno come utente predefinito per alcuni secondi prima che NxFilter riceva la prima richiesta di accounting RADIUS e poi appariranno con i loro nomi utente.

Registrazione automatica per i nuovi utenti
È possibile che alcuni utenti guest utilizzino temporaneamente la rete tramite l'autenticazione Wi-Fi 802.1X di un servizio di autenticazione di terze parti come Eduroam. Non sono presenti nel database utenti, ma sono utenti autenticati. Si desidera consentire loro di utilizzare la rete, ma monitorarli con i loro nomi utente e applicare loro un criterio come gruppo. applicare un criterio a loro come gruppo. Se il numero di visitatori è limitato, è possibile farlo assegnando nomi utente temporanei a questi utenti ospiti. Ma Ma se ci sono centinaia di visitatori che vanno e vengono, non è il caso di farlo manualmente.

Per questo tipo di situazione, abbiamo 'Auto-register for New User' opzione. Con questa opzione abilitata, quando NxFilter trova un nuovo nome utente in una richiesta di accounting RADIUS, creerà un utente con quel nome utente. È anche possibile impostare un gruppo predefinito per questi nuovi utenti con l'opzione 'Gruppo predefinito per il nuovo utente'.

Tuttavia, prima di abilitare 'Auto-register for New User', c'è una cosa a cui pensare. Questi utenti visitatori molto probabilmente utilizzano nomi utente del modulo e-mail come "uname@visitor.com" per differenziarsi dagli altri utenti dell'organizzazione. Tuttavia, NxFilter elimina la parte di dominio del nome utente di un modulo e-mail per impostazione predefinita. Per mantenere i domini nei nomi utente dei visitatori, è possibile specificare Local Domain. Se si specifica Local Domain, NxFilter rimuove solo i domini specificati.

È possibile aggiungere più domini locali separati da virgole.