Налаштування WPA2-Enterprise за допомогою Freeradius

9

Я намагаюся створити автентифіковану мережу Wi-Fi з Freeradius. Мені вдалося налагодити роботу за допомогою самопідписаних сертифікатів тощо.

Проблема полягає в тому, що клієнтам Windows потрібно зняти прапорець " Автоматично використовувати моє ім'я для входу в Windows та пароль [etc.]" у налаштуваннях MSCHAPv2. Коли я підключаюсь до свого місцевого університету за допомогою Eduroam, він автоматично запитує ім’я користувача та пароль замість того, щоб надсилати облікові дані для входу в Windows. Як це здійснили сисадміни? Це якийсь атрибут RADIUS, який надсилається назад?

wifi  freeradius  security  wpa2 
Вінсент О.
джерело
Ви спробували надіслати електронною поштою адміністраторам Eduroam вашого університету?
Майкл
Я надіслав електронною поштою своєму національному адміністратору eduroam, відповіді поки що немає.
Вінсент О.
Можливо, саме тоді, коли початкові облікові дані надсилаються, RADIUS відміняє Access-Reject, тому Windows вирішує запросити користувача, а не надсилати інші дані знову. Використовуєте SecureW2 чи щось інше?
Майкл
-edit- Тепер він знову зламаний. Я використовую рідний молитель Win7. Як повернути назад-відхилити? Чи можу я використовувати для цього запис DEFAULT у файлі налаштування користувачів, і якщо так, то як?
Вінсент О.
Кожне керівництво, яке я бачив для Eduroam, вимагає внести однакові зміни в профіль конфігурації для Eduroam.
Занчій

Відповіді:

2

Це скоріше відповідь на коментарі, ніж питання, але ставити його тут, щоб я міг його відформатувати:

Ви можете використовувати запис DEFAULT у вашому файлі користувачів разом із групою пошуку, щоб відповідати користувачам на основі наданого імені користувача.

Першим кроком буде запуск radiusd в режимі налагодження radiusd -Xта захоплення формату, до якого входить ім'я користувача, коли він автентифікується як зареєстрований користувач, iirc це щось на зразок / ім'я хоста $ / account.

Потім ви можете вказати групу полювання за $raddbdir/huntgroupsдопомогою регулярного виразу:

badusers User-Name =~ ^aregex.*$

Потім додайте huntgroup до правила з типом повернення до відхилення доступу у usersфайлі.

DEFAULT Huntgroup-Name == badusers, Auth-Type := Reject

Чи призведе це до того, що Windows запропонує ввести ім'я користувача та пароль, залежить від вашого NAS та заявника Windows WPA.

Джеймс Йейл
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.