Les clients MacOS se déconnectent sporadiquement du réseau sans fil WPA Enterprise

15

Nous avons un petit bureau avec environ 20 personnes, chacun utilisant un MacBook, et se connectant éventuellement avec un téléphone portable également. Auparavant, nous utilisions le Wi-Fi habituel avec une clé partagée, mais récemment je l'ai reconfiguré en WPA Enterprise, où tous les utilisateurs ont reçu leurs propres informations d'identification: paire login / mot de passe. L'authentification passe par un freeradiusservice exécuté sur un boîtier AWS EC2.

Le serveur RADIUS n'est pas configuré pour utiliser des certificats, chaque utilisateur a une entrée dans un /etc/freeradius/usersfichier qui ressemble à ceci:

john.doe Cleartext-Password := "my_password"

Le client RADIUS a été configuré de manière minimaliste - voici notre /etc/freeradius/clients.conf

client RADIUSClient {
  ipaddr = <our office external IP>
  secret = <secret key shared with the Access Point>
  require_message_authenticator = no
}

Cette configuration semble fonctionner correctement avec tous les téléphones mobiles et la plupart des MacBooks. MacBooks se plaint d'abord d'un certificat auto-signé non approuvé (ce qui est compréhensible), mais après avoir défini ce certificat comme approuvé, tout fonctionne sans problème.

Pourtant, certains MacBooks, après s'être connectés avec succès, commencent à afficher des erreurs d'authentification à des intervalles aléatoires (1-30 minutes):

Authentication failed on network “Network SSID”.
The authentication server is unresponsive. Contact your network administrator to check the network infrastructure.

Il y a un seul bouton "Déconnecter" dans cette boîte de dialogue. Pourtant, jusqu'à ce que l'utilisateur appuie sur ce bouton, le MacBook reste parfaitement connecté. La fenêtre peut être éloignée de l'écran, mais elle remonte encore et encore au centre, irritant les utilisateurs. Cliquez sur «Déconnecter» pour déconnecter l'ordinateur portable du Wi-Fi, puis en quelques secondes, le Mac se reconnecte au même réseau, laissant un enregistrement de connexion réussi dans les journaux du serveur RADIUS.

En essayant d'enquêter, j'ai vu que lorsqu'il est connecté au réseau WPA Enterprise, le MacBook affiche une entrée supplémentaire dans le paramètre réseau nommé 802.1X . Lorsqu'il est normalement connecté, il indique "Authentifié via EAP-PEAP (MSCHAPv2)" tout le temps depuis la connexion ( voir capture d'écran ). Appuyer sur le bouton "Déconnecter" déconnecte immédiatement l'ordinateur portable du Wi-Fi.

Sur les ordinateurs portables qui ont des problèmes avec la fenêtre de problème d'authentification qui apparaît, après une période aléatoire, le message "Authentifié via ..." disparaît et une nouvelle tentative d'authentification démarre ( voir capture d'écran ). Après un certain temps, le message devient "Le serveur d'authentification ne répond pas". J'ai regardé les journaux du serveur RADIUS: chaque fois qu'un utilisateur se connecte au Wi-Fi, il y a un enregistrement d'authentification réussi, mais rien n'est enregistré pendant ces tentatives d'authentification affichées sous la section "802.1X".

Après plusieurs cycles entre les messages "Authentification ..." et "Le serveur d'authentification ne répond pas", la boîte de dialogue apparaît.

Comme cela ne se produit que sur quelques ordinateurs portables, je ne pense pas que ce soit un problème de serveur, mais je ne sais pas comment résoudre le problème pour ceux qui l'ont. Je ne l'avais pas au départ, mais quand j'ai commencé à expérimenter avec la commutation de réseaux, la suppression et la recréation de réseaux, j'ai réussi à reproduire le problème, et maintenant je ne peux plus m'en débarrasser :)

Quelqu'un peut-il suggérer la bonne direction de l'enquête?

MISE À JOUR (03.03.2017). Il a finalement été décidé de passer à un point d'accès de classe entreprise. Nous avons acheté et installé UniFi APAC PRO , et le problème avait disparu.

Vlad Nikiforov
la source
2
Votre serveur RADIUS devrait vraiment être sur site, pas dans le cloud, si vous pouvez l'éviter. L'interruption la plus brève de la connectivité Internet (qui est assez courante) peut provoquer cela.
Michael Hampton
Je rencontre également exactement le même comportement (connexion Internet qui fonctionne toujours, boîte de dialogue qui s'affiche à nouveau et état 802.1X en cas d'erreur). J'ai un serveur local radius, donc la connexion feuilletée AP -> le serveur radius ne peut pas être cause pour moi.
bas
J'ai un AP bi-bande. À l'origine, j'utilisais deux ESSID distincts pour chaque groupe. J'ai commencé à rencontrer ce problème lorsque j'ai commencé à utiliser le même ESSID pour les deux bandes. Utilisez-vous plusieurs AP (ou bandes) sur le même ESSID?
bas
En fait oui, j'ai oublié de le mentionner. Au départ, nous avions le même SSID pour les deux bandes, et il y avait plus d'utilisateurs qui avaient ce problème. Après avoir divisé les groupes (je pensais que la cause première était de faire des allers-retours entre les groupes), pour certains d'entre eux, le popup persistant a disparu, mais il y a encore un couple qui rencontre toujours ce problème.
Vlad Nikiforov
Je rencontre également le problème maintenant avec des SSID distincts. :( (Bien que moins fréquemment.)
bas

Réponses:

0

Avez-vous exécuté des diagnostics WiFi sur l'un de vos Mac concernés? Cela peut révéler quelque chose en dehors de votre réseau, comme un point d'accès à proximité qui n'a pas son code de pays correctement configuré. Cela nous est arrivé lorsque FiveGuys est entré en bas et a mis en place un hotspot mal configuré. Votre passage à un UniFi AP alors qu'un bon choix pourrait encore couvrir la cause première.

LifeSizeActionFigure
la source
0

Une autre option est que MacOS aime rechercher régulièrement les réseaux disponibles. Pour ce faire, il y a une brève déconnexion de votre WiFi. Il existe un paramètre dans le Mac pour se connecter automatiquement aux réseaux à proximité et cela peut être désactivé. Il y a aussi une configuration wifi (je ne m'en souviens pas) pour l'empêcher d'essayer de passer d'AP en AP fréquemment. Ces sauts peuvent interrompre le réseau.

Kevin Buchs
la source