Configurando WPA2-Enterprise com Freeradius

9

Estou tentando configurar uma rede wifi autenticada com o Freeradius. Eu consegui fazer as coisas funcionarem usando certificados autoassinados etc.

O problema é que os clientes Windows precisam desmarcar a opção " Usar automaticamente o nome de logon e a senha do Windows e a senha [etc.]" nas configurações do MSCHAPv2. Quando eu me conecto à minha universidade local com o Eduroam, ele solicita automaticamente um nome de usuário e senha em vez de enviar credenciais de login do Windows. Como os administradores do sistema conseguiram isso? É algum tipo de atributo RADIUS enviado de volta?

wifi  freeradius  security  wpa2 
Vincent O.
fonte
Você já tentou enviar um email para os administradores do Eduroam da sua universidade?
Michael
Enviei um e-mail ao meu administrador nacional do eduroam, sem resposta até agora.
Vincent O.
Pode ser que, quando as credenciais iniciais forem enviadas, o RADIUS retroceda o Access-Reject, para que o Windows decida solicitar ao usuário em vez de enviar as outras credenciais novamente. Você está usando o SecureW2 ou algo mais?
Michael
Agora está quebrado novamente. Estou usando o suplicante nativo do Win7. Como envio de volta o Access-Reject? Posso usar a entrada PADRÃO no arquivo de configuração dos usuários para isso? Em caso afirmativo, como?
Vincent O.
Todo guia que eu vi para o Eduroam exige que você faça as mesmas alterações no perfil de configuração do Eduroam.
Zanchey

Respostas:

2

Esta é mais uma resposta para os comentários do que para a pergunta, mas coloque-a aqui para que eu possa formatá-la:

Você pode usar a entrada PADRÃO no arquivo de usuários junto com um grupo de busca para corresponder aos usuários com base no nome de usuário fornecido.

O primeiro passo seria executar o radiusd no modo de depuração radiusd -Xe capturar o formato em que o nome de usuário entra, como quando é autenticado como usuário logado, ou seja, é algo como / hostname $ / account.

Você pode especificar o grupo de busca $raddbdir/huntgroupsusando uma expressão regular:

badusers User-Name =~ ^aregex.*$

Em seguida, adicione o grupo de busca a uma regra com um tipo de retorno de rejeição de acesso no usersarquivo.

DEFAULT Huntgroup-Name == badusers, Auth-Type := Reject

Se isso fará com que o Windows solicite um nome de usuário e senha depende do seu NAS e do suplicante WPA do Windows.

James Yale
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.