Freeradius+OTP+Wifi

Hálózati eszközök

Megpróbáltam összerakni egy OTP-vel beléptető Wifi-t.
A hitelesítést a freeradius oldja meg, amit összekötöttem Google Authenticatorral és MultiOTP-vel is, mindkét esetben működött a hitelesítés radtest-el, minden kombinációban (pin, otp, jelszo, pam), de sehogy sem akar működni wifi-ről.

Ahogy látom a probléma az, hogy a wifi klienstől nem jut el a cleartext jelszó a freeradius-ig, így nincs hogy az OTP modul hitelesítse azt, és mivel az OTP modul sem tudja milyen kód jelenik meg éppen a telefonon, ezért a hash-el sem tud mit kezdeni, mert ő a saját hash-ét nincs mi alapján legenerálja.

Valakinek már volt tapasztalata ilyesmivel?

  • 1391 megtekintés

( sibike | 2019. 03. 15., p – 09:11 )

Milyen WPA beállításokat használsz?

( vl v | 2019. 03. 15., p – 11:08 )

A probléma az, hogy pl. a Windows a default beállításokkal nem lesz hajlandó neked cleartext jelszót beküldeni, csak NTLM hash-t.

Innentől két választásod van: vagy kénytelen vagy a klienseket konfigurálni, vagy olyan megoldást használsz, amihez jó az NTLM hash is (kb. ez az egyetlen, amivel alapból egy Windows hajlandó authentikálni).

( akoscomp | 2019. 03. 18., h – 08:00 )

up
Senki nem próbálkozott ilyesmivel?

És VPN esetén használt valaki OTP-t? Ott vannak hasonló problémák?

Kellene valami a sima wifi jelszónál biztonságosabb, és az OTP az megfelelő lenne. Még ki kell tapasztalni, mennyire használható.
Alternatíva a certificate alapú beléptetés, de az szerintem problémásabb.

VPN-el sikerült beállítani az OTP-t, de csak úgy, hogy bepipáltam kliens oldalon a PAP-ot, ami az IPSec miatt elfogadható kompromisszum.

Kellene valami a sima wifi jelszónál biztonságosabb, és az OTP az megfelelő lenne.

Guest Wifi + VPN-t akarsz inkább. Az egy bejáratott út, és akkor lehet a kinti és a wifis júzereket egyformán kezelni.

Alternatíva a certificate alapú beléptetés, de az szerintem problémásabb.

Pedig ez az igazán korrekt megoldás... mondjuk tényleg szopás konfigurálni.