WiFi Enterprise / 802.1x / PEAP / Windows RADIUS: più dispositivi non riescono a connettersi quando si utilizzano gli stessi dettagli di autenticazione


1

Ho problemi a ottenere più dispositivi per stabilire una connessione WiFi quando usano gli stessi dettagli di autenticazione. Ecco un po 'della mia configurazione wireless:

  • Singolo punto di accesso tramite WPA2 Enterprise (802.1X) - Linksys WAP4400N (sì, è piuttosto vecchio).
  • L'autenticazione 802.1X è PEAP, l'autenticazione della seconda fase è EAP-MSCHAPv2 o certificato.
  • Il server RADIUS è Network Policy Server da Windows Server 2008 R2.
  • Gli utenti eseguono l'autenticazione con Active Directory, chiunque è attivo nel gruppo Domain Users è autorizzato a.
  • I dispositivi wireless includono Windows 7, due iPhone e due tablet Android. Non tutti questi sono miei.

Il problema è che se lo stesso utente (poiché il dispositivo appartiene alla stessa persona) tenta di autenticarsi su due dispositivi alla volta, solo il primo dispositivo autenticato otterrà una connessione WiFi funzionante. Sebbene i dispositivi successivi affermino che l'autenticazione 802.1X ha avuto esito positivo (come indicato nel registro degli eventi di sicurezza di Windows), non riuscirà sempre a recuperare un indirizzo IP dal DHCP.

Nessuno dei dispositivi afferma inoltre che l'autenticazione 802.1X non è riuscita, si limitano a "ottenere l'indirizzo IP" per un po ', quindi non danno la colpa alla scarsa connettività. Il registro degli eventi di sicurezza di Windows non mostra errori di autenticazione. L'impostazione di un indirizzo IP statico non risolve questo problema; verrà stabilita una connessione WiFi, ma non verranno trasmessi dati.

Mi chiedo se è il punto di accesso in difetto o se il modo in cui eseguo l'autenticazione è sconsigliato? A prima vista, sembrerebbe che il punto di accesso non sia soddisfatto di due supplicant che usano le stesse credenziali dell'utente, ma poi ho avuto l'impressione che il punto di accesso non abbia voce in capitolo. L'access point (autenticatore) non dovrebbe semplicemente essere un ponte tra il supplicant e il server di autenticazione?

Forse dovrei emettere ogni dispositivo con il proprio certificato, quindi utilizzare EAP-TLS o PEAP con i certificati di fase 2. Non voglio davvero andare a fare nuovi utenti per ogni persona su un dispositivo WiFi separato in quanto ciò vanifica lo scopo di ciò che un utente è, inoltre l'indirizzo MAC del dispositivo è completamente registrato, quindi non è come non riuscire a vedere quali dispositivi sono autenticazione comunque.


1
Sarebbe interessante vedere una traccia di pacchetto della sessione RADIUS, vedere se Access-Accept viene realmente inviato e se il messaggio MPPE-Key viene mai inviato.
Spiff

Ho appena usato Wireshark sul server Windows (che ospita RADIUS e DHCP) per scoprirlo. Sì, il pacchetto Access-Accept viene inviato, ma non viene visualizzata una chiave MPPE. Anche il pacchetto di rilevamento DHCP viene ricevuto e un pacchetto di offerta DHCP viene immediatamente spedito con i dettagli previsti. Questi messaggi DHCP vengono quindi ripetuti all'infinito a circa un secondo di distanza.
Adambean,

Anche all'improvviso TUTTO FUNZIONA, ma non preoccuparti, sono sicuro che non durerà a lungo. Ho appena provato con 2 iPhone qui (uno come me, uno come qualcun altro) e un tablet Android (come me). Tutti hanno ricevuto immediatamente un indirizzo IP anche dal DHCP ...
Adambean,

1
Scusa, la mia memoria mi ha deluso. La chiave non viene inviata in un messaggio RADIUS separato, viene inviata come "attributo MS-MPPE-Recv-Key" in Access-Accept. Sarebbe interessante sapere se il server RADIUS a volte invia Access-Accept che non hanno un attributo MS-MPPE-Recv-Key valido in essi.
Spiff

Ah ha trovato l'attributo. È presente, ma tutto funziona ora (ancora). Probabilmente dovrò aspettare che si rompa di nuovo misteriosamente ...
Adambean,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.