En un entorno corporativo, la mejor manera de lograrlo es a través de certificados emitidos para muchos dispositivos y posiblemente direcciones MAC. Tenga en cuenta que esto puede ser superado si los usuarios tienen conocimientos de seguridad de TI y, de manera crítica, si tienen derechos de administrador en sus dispositivos. Su empresa no tiene un servidor de Windows AD, así que supongo que sería bastante difícil configurar una PKI interna para esto.
Hay un problema al usar servidores RADIUS como FreeRadius con contraseñas temporales donde las computadoras portátiles y los dispositivos móviles siguen intentando conectarse automáticamente y, por lo general, terminan bloqueando la cuenta debido a una contraseña caducada o agotando los recursos del servidor al procesar solicitudes de inicio de sesión erróneas. / p>
Los hoteles y el acceso general de invitados se implementan normalmente utilizando un sistema inalámbrico con un Portal cautivo ( enlace ). Esto es similar a cuando se conecta a Starbucks o McDonalds sin una clave previamente compartida pero obtiene una página web que necesita para iniciar sesión o hacer clic para acceder a Internet. Esto le dará la funcionalidad que está buscando, pero a expensas del personal.
En última instancia, no hay mejor respuesta. Todo depende de qué nivel de control tenga realmente, cuánto confíe en sus usuarios y qué tan importante sea esto para la empresa. Un sistema flexible y con todas las funciones costará tiempo y / o dinero.
Entiendo lo que quieres decir con confianza. Lo que quise decir es que, dado que no tiene un servidor de directorio para controlar las máquinas de los usuarios de forma centralizada, tendrá que confiar en que sus usuarios no abusarán del sistema (si tienen derechos de administrador).
En lo que respecta a RADIUS, deberá configurar el Cambio de autorización (CoA). Sin CoA, no puede finalizar una sesión en curso y la nueva autorización solo se aplicará a la próxima vez que el usuario intente iniciar sesión.
Editar:
En el caso de 1), suponiendo que no tenga configurada la CoA, si bloquea a un ex empleado mientras su dispositivo todavía está conectado, no puede expulsarlos de la red simplemente deshabilitando su cuenta de usuario. Tendría que hacerlo manualmente en el punto de acceso inalámbrico al finalizar la sesión en función de la dirección MAC. La próxima vez que intenten iniciar sesión, serán bloqueados por una autenticación RADIUS fallida. Si tiene CoA, entonces el cambio de los privilegios asociados con la cuenta podría provocar un cambio inmediato y ponerlos en marcha.
Para 2) eso dependería del sistema inalámbrico. He visto que puede especificar la duración máxima de la sesión, pero no hay manera de evitar que se vuelvan a conectar inmediatamente ya que la PSK se comparte entre todos los usuarios en la misma red inalámbrica. Podría hacer el filtrado de direcciones MAC, pero si está bien automática o manualmente dependerá del sistema inalámbrico o del servidor RADIUS.
Implementar 2) con un portal cautivo es mucho más fácil porque el temporizador de autenticación generalmente se realiza con una cookie de sesión http que puede ser invalidada en cualquier momento, matando así la sesión del usuario.