WPA2-Enterprise mit Freeradius konfigurieren

9

Ich versuche, mit Freeradius ein authentifiziertes WLAN-Netzwerk einzurichten. Ich habe es geschafft, Dinge mit selbstsignierten Zertifikaten usw. zum Laufen zu bringen.

Das Problem ist, dass Windows-Clients in den MSCHAPv2-Einstellungen die Option " Windows- Anmeldenamen und -Kennwort automatisch verwenden [usw.]" deaktivieren müssen. Wenn ich mit Eduroam eine Verbindung zu meiner lokalen Universität herstelle, werden automatisch ein Benutzername und ein Kennwort abgefragt, anstatt Windows-Anmeldeinformationen zu senden. Wie haben die Sysadmins dies erreicht? Wird eine Art RADIUS-Attribut zurückgesendet?

Vincent O.
quelle
Haben Sie versucht, den Administratoren des Eduroam Ihrer Universität eine E-Mail zu senden?
Michael
Ich habe meinem nationalen Eduroam-Administrator eine E-Mail gesendet, bisher keine Antwort.
Vincent O.
Es kann nur sein, dass RADIUS beim Senden der ersten Anmeldeinformationen Access-Reject zurückwirft, sodass Windows beschließt, den Benutzer aufzufordern, anstatt die anderen Anmeldeinformationen erneut zu senden. Verwenden Sie SecureW2 oder etwas anderes?
Michael
-edit- Jetzt ist es wieder kaputt. Ich verwende den nativen Win7-Supplicant. Wie sende ich Access-Reject zurück? Kann ich dafür den DEFAULT-Eintrag in der Benutzerkonfigurationsdatei verwenden und wenn ja, wie?
Vincent O.
Für jede Anleitung, die ich für Eduroam gesehen habe, müssen Sie dieselben Änderungen am Konfigurationsprofil für Eduroam vornehmen.
Zanchey

Antworten:

2

Dies ist eher eine Antwort auf die Kommentare als auf die Frage, aber hier, damit ich sie formatieren kann:

Sie können den Eintrag DEFAULT in Ihrer Benutzerdatei zusammen mit einem Sammelanschluss verwenden, um Benutzer anhand des angegebenen Benutzernamens abzugleichen.

Der erste Schritt wäre, radiusd im Debug-Modus auszuführen radiusd -Xund das Format zu erfassen, in dem der Benutzername eingeht, wenn er sich als angemeldeter Benutzer authentifiziert. Dies entspricht etwa / hostname $ / account.

Sie können die Sammelgruppe dann $raddbdir/huntgroupsmithilfe eines regulären Ausdrucks angeben :

badusers User-Name =~ ^aregex.*$

Fügen Sie dann die Sammelanschlussgruppe einer Regel mit einem Rückgabetyp für die Zurückweisung von Zugriff in der usersDatei hinzu.

DEFAULT Huntgroup-Name == badusers, Auth-Type := Reject

Ob Windows dadurch zur Eingabe eines Benutzernamens und eines Kennworts aufgefordert wird, hängt von Ihrem NAS und dem Windows WPA-Supplicant ab.

James Yale
quelle