In un ambiente aziendale, il modo migliore per farlo è tramite i certificati rilasciati a dispositivi aziendali e probabilmente a indirizzi MAC. Intendiamoci, questo può essere battuto se gli utenti hanno il know-how di sicurezza IT e in modo critico se hanno diritti di amministratore sui loro dispositivi. La tua azienda non ha un server Windows AD quindi presumo che sarebbe piuttosto difficile impostare una PKI interna per questo.
C'è un problema con i server RADIUS come FreeRadius con password temporanee in cui computer portatili e dispositivi mobili continuano a connettersi automaticamente e di solito finiscono per bloccare l'account a causa di una password scaduta o utilizzano risorse server elaborando richieste di accesso errate. / p>
L'accesso agli hotel e agli ospiti in genere viene normalmente implementato utilizzando un sistema wireless con un Captive Portal ( link ). Questo è simile a quando ci si connette a Starbucks o McDonalds senza una chiave pre-condivisa, ma si ottiene una pagina Web che è necessario accedere o fare clic per ottenere l'accesso a Internet. Questo ti darà la funzionalità che stai cercando, ma a scapito della convenienza per il personale.
In definitiva, non c'è una risposta migliore. Tutto dipende da quale livello di controllo hai effettivamente, da quanto ti fidi dei tuoi utenti e da quanto sia importante per l'azienda. Un sistema flessibile e completo ti costerà tempo e / o denaro.
Capisco cosa intendi per fiducia. Quello che intendevo era che, poiché non hai un server di directory per controllare centralmente le macchine degli utenti, devi avere fiducia che i tuoi utenti non abusino del sistema (se hanno diritti di amministratore).
Per quanto riguarda RADIUS, è necessario configurare Change of Authorization (CoA). Senza CoA, non è possibile terminare una sessione in corso e la nuova autorizzazione verrà applicata solo alla successiva connessione dell'utente.
Modifica:
Nel caso di 1) assumendo che tu non abbia il CoA configurato, se blocchi un ex-dipendente mentre il loro dispositivo è ancora connesso, non puoi cacciarlo dalla rete semplicemente disabilitando il loro account utente. Dovresti eseguirlo manualmente sull'access point wireless terminando la sessione in base all'indirizzo MAC. La prossima volta che tenteranno di accedere, verranno bloccati da un'autenticazione RADIUS non riuscita. Se disponi di CoA, la modifica dei privilegi associati all'account potrebbe richiedere una modifica immediata e il loro kick off.
Per 2) che dipenderebbe dal sistema wireless. Ho visto alcuni che è possibile specificare una durata massima della sessione, ma non c'è modo di impedire loro di riconnettersi immediatamente dal momento che la PSK è condivisa tra tutti gli utenti sulla stessa rete wireless. Potresti fare il filtraggio degli indirizzi MAC, ma se sia corretto automaticamente o manualmente dipenderebbe dal sistema wireless o dal server RADIUS.
L'implementazione 2) con un captive portal è molto più semplice perché il timer di autenticazione viene solitamente eseguito con un cookie di sessione http che può essere invalidato in qualsiasi momento, quindi uccidendo la sessione utente.