У нас невеликий офіс з ~ 20 чоловік, кожен з яких використовує MacBook, і необов'язково підключається до мобільного телефону. Раніше ми використовували звичайний Wi-Fi із спільним ключем, але нещодавно я перенастроював його на WPA Enterprise, де всі користувачі отримували власні облікові дані: пара входу / пароля. Аутентифікація проходить через freeradiusслужбу, що працює на коробці AWS EC2.
Сервер RADIUS не налаштований на використання будь-яких сертифікатів, кожен користувач має запис у /etc/freeradius/usersфайлі, який виглядає приблизно так:
john.doe Cleartext-Password := "my_password"
Клієнт RADIUS був налаштований мінімалістично - ось наш /etc/freeradius/clients.conf
client RADIUSClient {
ipaddr = <our office external IP>
secret = <secret key shared with the Access Point>
require_message_authenticator = no
}
Ця настройка, здається, працює добре з усіма мобільними телефонами та більшістю MacBooks. MacBooks спочатку скаржаться на ненадійний самопідписаний сертифікат (що зрозуміло), але після встановлення цього сертифіката як довіреного, все працює безперебійно.
Однак деякі MacBooks після успішного підключення починають відображати помилки аутентифікації у випадкових інтервалах (1-30 хвилин):
Authentication failed on network “Network SSID”.
The authentication server is unresponsive. Contact your network administrator to check the network infrastructure.
У цьому діалоговому вікні є одна кнопка "Відключити". Однак поки користувач не натисне цю кнопку, MacBook залишається ідеально підключеним. Вікно можна відсунути від екрана, але воно знову і знову піднімається до центру, дратуючи користувачів. Клацання "Відключити" відключає ноутбук від Wi-Fi, а потім через пару секунд Mac знову підключається до тієї ж мережі, залишаючи успішний запис для входу в журнали сервера RADIUS.
Намагаючись розслідувати, я побачив, що при підключенні до мережі WPA Enterprise MacBook відображає додатковий запис у мережевих налаштуваннях під назвою 802.1X . Зазвичай, підключений, він говорить "Автентифіковано через EAP-PEAP (MSCHAPv2)" весь час після підключення ( див. Скріншот ). Натиснувши кнопку "Відключити", негайно відключається ноутбук від Wi-Fi.
На тих ноутбуках, у яких виникають проблеми із спливаючим вікном проблеми автентифікації, через деякий випадковий період повідомлення "Підтверджено через ..." зникає, і починається нова спроба аутентифікації ( див. Скріншот ). Через деякий час повідомлення змінюється на "Сервер автентифікації не відповідає". Я переглянув журнали сервера RADIUS: кожен раз, коли користувач підключається до Wi-Fi, відбувається успішна запис аутентифікації, але нічого не реєструється під час цих спроб аутентифікації, відображених у розділі "802.1X".
Після декількох циклів між повідомленнями "Автентифікація ..." та "Сервер автентифікації не відповідає" з'являється діалогове вікно.
Оскільки це відбувається лише на декількох ноутбуках, я не думаю, що це проблема сервера, але я не знаю, як виправити проблему для тих, у кого є. Спочатку у мене цього не було, але коли я почав експериментувати з комутацією мереж, видаленням та повторним створенням мереж, мені вдалося відтворити проблему, і тепер не можу її позбутися :)
Може хто-небудь, будь ласка, підказати правильний напрямок розслідування?
ОНОВЛЕННЯ (03.03.2017). Врешті-решт було прийнято рішення про перехід на точку доступу корпоративного класу. Ми купили та встановили UniFi APAC PRO , і цього питання не було.