Freeradius+OTP+Wifi

 ( akoscomp | 2019. március 15., péntek - 8:29 )

Megpróbáltam összerakni egy OTP-vel beléptető Wifi-t.
A hitelesítést a freeradius oldja meg, amit összekötöttem Google Authenticatorral és MultiOTP-vel is, mindkét esetben működött a hitelesítés radtest-el, minden kombinációban (pin, otp, jelszo, pam), de sehogy sem akar működni wifi-ről.

Ahogy látom a probléma az, hogy a wifi klienstől nem jut el a cleartext jelszó a freeradius-ig, így nincs hogy az OTP modul hitelesítse azt, és mivel az OTP modul sem tudja milyen kód jelenik meg éppen a telefonon, ezért a hash-el sem tud mit kezdeni, mert ő a saját hash-ét nincs mi alapján legenerálja.

Valakinek már volt tapasztalata ilyesmivel?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Milyen WPA beállításokat használsz?

WPA2-EAP, mással tudtommal nem működik a user/jelszóhitelesítés Radius-al.

Jó, de EAP mi? :)

EAP-TLS (previously tested)
EAP-TTLS/MSCHAPv2 (April 2005[23])
PEAPv0/EAP-MSCHAPv2 (April 2005)
PEAPv1/EAP-GTC (April 2005)
PEAP-TLS
EAP-SIM (April 2005)
EAP-AKA (April 2009[24])
EAP-FAST (April 2009)

EAP methotds: passthrough
Gondolom ez érdekel.

A probléma az, hogy pl. a Windows a default beállításokkal nem lesz hajlandó neked cleartext jelszót beküldeni, csak NTLM hash-t.

Innentől két választásod van: vagy kénytelen vagy a klienseket konfigurálni, vagy olyan megoldást használsz, amihez jó az NTLM hash is (kb. ez az egyetlen, amivel alapból egy Windows hajlandó authentikálni).

vagy pwchangenel generalod az ntlm hasht is

Az alapfelállás az, hogy csak a OneTimePassword-al lép be a kliens, aminek nincs, hogy legeneráljam a hash-ét, mivel az én esetemben ez csak a telefonon jelenik meg, a radius szerver nem ismeri ezt a kódot.

up
Senki nem próbálkozott ilyesmivel?

És VPN esetén használt valaki OTP-t? Ott vannak hasonló problémák?

ez esetben szar az osszerendeles, mert a radiusnak nem kene a hash, hanem szamolnia kene az OTPvel egyutt a kodot...

Vpn eseten tud mukodni.

Szemely szerint ugy gondolom, hogy az OTP hasznalata wifi halozathoz torteno kapcsolodasra a felhasznalok durva szivatasa. ;)

guestnek jo lesz. idealis rendszerben nincsenek userek :DDD
(vpnhez van vmi doksiwhatever?)

Kellene valami a sima wifi jelszónál biztonságosabb, és az OTP az megfelelő lenne. Még ki kell tapasztalni, mennyire használható.
Alternatíva a certificate alapú beléptetés, de az szerintem problémásabb.

VPN-el sikerült beállítani az OTP-t, de csak úgy, hogy bepipáltam kliens oldalon a PAP-ot, ami az IPSec miatt elfogadható kompromisszum.

Kellene valami a sima wifi jelszónál biztonságosabb, és az OTP az megfelelő lenne.

Guest Wifi + VPN-t akarsz inkább. Az egy bejáratott út, és akkor lehet a kinti és a wifis júzereket egyformán kezelni.

Alternatíva a certificate alapú beléptetés, de az szerintem problémásabb.

Pedig ez az igazán korrekt megoldás... mondjuk tényleg szopás konfigurálni.

"Guest Wifi + VPN-t akarsz inkább."

+1
Wifi csak netet lát, helyi hálót nem. Amelyik munkatárs wifiről akar dolgozni, VPN-t indít.

Olyat is láttam már, hogy csak a VPN szervert látja a wifi, ha mondjuk nem akartak free wifi-t adni (mondjuk egy belvárosi irodaházban nem praktikus).

Elborult egy ötlet, de nem rossz :)