Jump to content
Калькуляторы

Авторизация по ключу

Есть много SNR-CPE-ME1.

Предоставляются они бесплатно, взамен они "залочены" под конкретного оператора и у пользователя нет возможности изменять конфигурацию устройства (разве что менять настройки Wi-Fi).

Вопрос в том, как это сделать технически.

Вариант с "секретным" паролем, который не знают абоненты и знает ТП, нежизнеспособен; максимум через несколько месяцев пароль перестанет быть "секретным".

Периодическая смена "секретного" пароля на самом деле ситуацию только ухудшает, поскольку утечке пароля это почти не мешает, зато из-за того, что на всех устройствах пароли поменять не получится (например какие-то будут отключены), будут копиться проблемы.

Индивидуальные пароли на каждом CPE решают вопрос только частично (утечка по прежнему возможно, только она не будет массовой), зато очень сильно все усложняет.

Вариант с внешним сервером авторизации (RADIUS или TACACS) мне кажется непрактичным, потому что в ряде случаев у CPE не будет связи с сервером авторизации и ТП не сможет подключиться к устройству. Правда можно рассмотреть вариант, когда сервер авторизации будет на ноутбуке, который будет возить с собой ТП.

Единственным практичным способом, который приходит мне на ум, остается использование клиентских сертификатов — на CPE загружается сертификат корневого УЦ и CPE принимает все валидные сертификаты, выпущенные этим УЦ. И сотрудники, соответственно, используют для входа персональные сертификаты.

Как бы это сделать?

Share this post


Link to post
Share on other sites

Доброго дня, 

Сертификат со временем тоже может убежать, например при смене компьютера монтажником, или при передаче его через какое нибудь левый email и т.д, т.е риски так же есть.

Поскольку ПО кастомизируется, то может быть для ваших целей включить cwmp по умолчанию? Как только CPE включится на сети оператора, она обратится на указанный ACS сервер, где вы сможете снять необходимую статистику или сконфигурировать устройство так как вам нужно.

Так же на CPE есть несколько типов учетных записей, причем с разными правами, например учетная запись для администратора, или ограниченная для пользователя. В ограниченной учетной записи можно настроить права на чтение\запись по определенным опциям в интерфейсе управления, делается это в user/nginx/conf/nvram_acl.conf Таким образом дать клиенту и монтажнику доступ к ограниченным настройкам только через пользовательскую учетку.

Для более детального разбора предлагаю вынести этот запрос на wifi@nag.ru 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.