Configurazione di WPA2-Enterprise con Freeradius

9

Sto cercando di configurare una rete wifi autenticata con Freeradius. Sono riuscito a far funzionare le cose usando certificati autofirmati ecc.

Il problema è che i client Windows devono deselezionare l' opzione " Usa automaticamente il mio nome di accesso a Windows e la password [ecc.]" Nelle impostazioni di MSCHAPv2. Quando mi collego alla mia università locale con Eduroam, chiede automaticamente un nome utente e una password invece di inviare le credenziali di accesso a Windows. In che modo gli amministratori di sistema hanno raggiunto questo obiettivo? È una specie di attributo RADIUS che viene rispedito?

wifi  freeradius  security  wpa2 
Vincent O.
fonte
Hai provato a inviare e-mail agli amministratori della Eduroam della tua università?
Michael,
Ho inviato un'email al mio amministratore nazionale eduroam, finora nessuna risposta.
Vincent O.
Può essere solo che, quando vengono inviate le credenziali iniziali, RADIUS respinge Access-Reject in modo che Windows decida di richiedere all'utente invece di inviare nuovamente le altre credenziali. Stai usando SecureW2 o qualcos'altro?
Michael,
-edit- Ora è di nuovo rotto. Sto usando il supplicant nativo Win7. Come posso inviare nuovamente Access-Reject? Posso usare la voce DEFAULT nel file di configurazione degli utenti per questo e se sì, come?
Vincent O.
Ogni guida che ho visto per Eduroam richiede di apportare le stesse modifiche al profilo di configurazione per Eduroam.
Zanchey,

Risposte:

2

Questa è più una risposta ai commenti che una domanda, ma inserendola qui in modo da poterla formattare:

È possibile utilizzare la voce DEFAULT nel file degli utenti insieme a un gruppo di ricerca per abbinare gli utenti in base al nome utente fornito.

Il primo passo sarebbe quello di eseguire radiusd in modalità debug radiusd -Xe catturare il formato in cui arriva il nome utente come quando si autentica come l'utente che ha effettuato il login, iirc è qualcosa come / hostname $ / account.

È quindi possibile specificare il gruppo di ricerca $raddbdir/huntgroupsutilizzando un'espressione regolare:

badusers User-Name =~ ^aregex.*$

Quindi aggiungere il gruppo di ricerca a una regola con un tipo di ritorno di rifiuto dell'accesso nel usersfile.

DEFAULT Huntgroup-Name == badusers, Auth-Type := Reject

Se questo causerà la richiesta di un nome utente e una password di Windows dipende dal NAS e dal supplicant WPA di Windows.

James Yale
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.