Configuration de WPA2-Enterprise avec Freeradius

9

J'essaie de mettre en place un réseau wifi authentifié avec Freeradius. J'ai réussi à faire fonctionner les choses en utilisant des certificats auto-signés, etc.

Le problème est que les clients Windows doivent décocher l' option " Utiliser automatiquement mon nom de connexion Windows et mon mot de passe [etc.]" dans les paramètres MSCHAPv2. Lorsque je me connecte à mon université locale avec Eduroam, il demande automatiquement un nom d'utilisateur et un mot de passe au lieu d'envoyer des informations de connexion Windows. Comment les administrateurs système ont-ils accompli cela? Est-ce une sorte d'attribut RADIUS qui est renvoyé?

Vincent O.
la source
Avez-vous essayé d'envoyer un courriel aux administrateurs d'Eduroam de votre université?
Michael
J'ai envoyé un e-mail à mon administrateur national eduroam, aucune réponse jusqu'à présent.
Vincent O.
Il se peut que, lorsque les informations d'identification initiales soient envoyées, RADIUS relance Access-Reject afin que Windows décide d'inviter l'utilisateur au lieu d'envoyer à nouveau les autres informations d'identification. Utilisez-vous SecureW2 ou autre chose?
Michael
-edit- Maintenant, il est à nouveau cassé. J'utilise le suppliant natif Win7. Comment renvoyer Access-Reject? Puis-je utiliser l'entrée DEFAULT dans le fichier de configuration des utilisateurs pour cela et si oui, comment?
Vincent O.
Chaque guide que j'ai vu pour Eduroam vous oblige à apporter les mêmes modifications au profil de configuration pour Eduroam.
Zanchey

Réponses:

2

C'est plus une réponse aux commentaires qu'à la question, mais en le mettant ici pour que je puisse le formater:

Vous pouvez utiliser l'entrée PAR DÉFAUT dans votre fichier d'utilisateurs avec un groupe de recherche pour faire correspondre les utilisateurs en fonction du nom d'utilisateur fourni.

La première étape serait d'exécuter radiusd en mode débogage radiusd -Xet de capturer le format dans lequel le nom d'utilisateur apparaît comme lorsqu'il s'authentifie en tant qu'utilisateur connecté, iirc c'est quelque chose comme / hostname $ / account.

Vous pouvez ensuite spécifier le groupe de recherche en $raddbdir/huntgroupsutilisant une expression régulière:

badusers User-Name =~ ^aregex.*$

Ajoutez ensuite le groupe de recherche à une règle avec un type de retour d'accès-rejet dans le usersfichier.

DEFAULT Huntgroup-Name == badusers, Auth-Type := Reject

Le fait que Windows demande un nom d'utilisateur et un mot de passe dépend de votre NAS et du demandeur Windows WPA.

James Yale
la source