WPA2 - Enterprise és Windows XP

 ( efbijn | 2013. június 14., péntek - 7:22 )

Sziasztok!

Van egy FreeRadius2 szerver amit beállítottam egy wifi AP-nek. Ha XP-s kliens akar csatlakozni a wifire akkor a következőt látom a logban:

# Executing group from file /usr/local/etc/raddb/sites-enabled/default
[eap] UserIdentity Unknown
[eap] Identity Unknown, authentication failed
Login incorrect: [] (from client test port 29 cli 0018dea4ac95)

A kliens pedig közli, hogy Nincs kapcsolat, EAP-típusnak pedig a tanúsítvány alapút állítja be. Amennyiben beállítom, hogy PEAP + kiveszem a pipát a "Kiszolgálói tanúsítvány ellenőrzése" elől illetve beállítom, hogy ne az aktuális Windows usernévvel próbálkozzon akkor működik XP alól is.
A szerveren az eap{} részben a default_eap_type = peap -ra van állítva.

A legszebb az egészben, hogyha win8-as klienst ráengedek az bekéri a user/pass-t, elmondja hogy self-signed a tanúsítvány és utána működik.

A kérdés: meglehet-e oldani azt, szerver oldalról, hogy ne kelljen az XP-s klienseket egyenként beállítani.

Előre is köszi!

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

subscribe

Nem, Vistán és 7-en sem lehet és nem is akarod ezt.

Alapvetően a WPA-Enterprise arra való, hogy a kliens biztos legyen benne, hogy nem egy rogue AP-hez kapcsolódik, ehez pedig a tanúsítványt fel kell telepíteni (vagy meg kell venni). Ezt mondjuk scriptelheted is amennyiben van valami erre használható megoldás már, ha nem, akkor marad a dokumentálás.

Magát a WiFi profilt kimentheted (amikor beállítod van valahol mentés lehetőség) vagy egy kis powershell mágiával is biztos létrehozható.

"default_eap_type = peap" check
tls alatt a certificate-ek kellenek, de elvileg ez kéne legyen nálad is.

Tanúsítványok megvannak. Win7 most nincs előttem de mintha ott is lehetett volna, hogy vigyázz self-signed és elfogadod vagy nem. A lényegi autentikáció nem tanúsítvány alapon menne hanem user/pass kombóval, csak ugye EAP-nak kell TLS.

A probléma, hogy "átutazó" kliensek lennének. A Radius nekem csak azért kellett volna, hogy naponta tudjak új jelszót generálni __egyszerűen__ a fix usernévhez. Ne kelljen folyton belépni a webes management felületre.

@@
"You can hide a semi truck in 300 lines of C."

Ehez lenyegesen egyszerubb, gyorsabb, kenyelmesebb lenne egy hotspot szolgaltatas pl. a Mikrotik eszkozeivel. Nincs felhasznalo, csak napi jelszo WPA2 AES-en. A jelszocsere scriptelheto ssh-n keresztul, ehez mondjuk nem is kell Mikrotik, valoszinuleg eleg egy Ubiquity-s Unifi is, vagy barmi ami ssh-t tamogat.

Igen, csak meglévő alkatrészekből gondoltam összedobni egy viszonylag biztonságosabb rendszert. De akkor valószínűleg az lesz, hogy radius szerver helyett AP lesz az eszközből. :)

@@
"You can hide a semi truck in 300 lines of C."

Biztonságosabb úgysem lesz, úgyhogy inkább legyen egyszerű :)