[alibek]

Есть много SNR-CPE-ME1.

Предоставляются они бесплатно, взамен они "залочены" под конкретного оператора и у пользователя нет возможности изменять конфигурацию устройства (разве что менять настройки Wi-Fi).

Вопрос в том, как это сделать технически.

Вариант с "секретным" паролем, который не знают абоненты и знает ТП, нежизнеспособен; максимум через несколько месяцев пароль перестанет быть "секретным".

Периодическая смена "секретного" пароля на самом деле ситуацию только ухудшает, поскольку утечке пароля это почти не мешает, зато из-за того, что на всех устройствах пароли поменять не получится (например какие-то будут отключены), будут копиться проблемы.

Индивидуальные пароли на каждом CPE решают вопрос только частично (утечка по прежнему возможно, только она не будет массовой), зато очень сильно все усложняет.

Вариант с внешним сервером авторизации (RADIUS или TACACS) мне кажется непрактичным, потому что в ряде случаев у CPE не будет связи с сервером авторизации и ТП не сможет подключиться к устройству. Правда можно рассмотреть вариант, когда сервер авторизации будет на ноутбуке, который будет возить с собой ТП.

Единственным практичным способом, который приходит мне на ум, остается использование клиентских сертификатов — на CPE загружается сертификат корневого УЦ и CPE принимает все валидные сертификаты, выпущенные этим УЦ. И сотрудники, соответственно, используют для входа персональные сертификаты.

Как бы это сделать?

[Kirill Vasilyev]

Доброго дня, 

Сертификат со временем тоже может убежать, например при смене компьютера монтажником, или при передаче его через какое нибудь левый email и т.д, т.е риски так же есть.

Поскольку ПО кастомизируется, то может быть для ваших целей включить cwmp по умолчанию? Как только CPE включится на сети оператора, она обратится на указанный ACS сервер, где вы сможете снять необходимую статистику или сконфигурировать устройство так как вам нужно.

Так же на CPE есть несколько типов учетных записей, причем с разными правами, например учетная запись для администратора, или ограниченная для пользователя. В ограниченной учетной записи можно настроить права на чтение\запись по определенным опциям в интерфейсе управления, делается это в user/nginx/conf/nvram_acl.conf Таким образом дать клиенту и монтажнику доступ к ограниченным настройкам только через пользовательскую учетку.

Для более детального разбора предлагаю вынести этот запрос на wifi@nag.ru