Freeradius+OTP+Wifi

Megpróbáltam összerakni egy OTP-vel beléptető Wifi-t.
A hitelesítést a freeradius oldja meg, amit összekötöttem Google Authenticatorral és MultiOTP-vel is, mindkét esetben működött a hitelesítés radtest-el, minden kombinációban (pin, otp, jelszo, pam), de sehogy sem akar működni wifi-ről.

Ahogy látom a probléma az, hogy a wifi klienstől nem jut el a cleartext jelszó a freeradius-ig, így nincs hogy az OTP modul hitelesítse azt, és mivel az OTP modul sem tudja milyen kód jelenik meg éppen a telefonon, ezért a hash-el sem tud mit kezdeni, mert ő a saját hash-ét nincs mi alapján legenerálja.

Valakinek már volt tapasztalata ilyesmivel?

Hozzászólások

Milyen WPA beállításokat használsz?

A probléma az, hogy pl. a Windows a default beállításokkal nem lesz hajlandó neked cleartext jelszót beküldeni, csak NTLM hash-t.

Innentől két választásod van: vagy kénytelen vagy a klienseket konfigurálni, vagy olyan megoldást használsz, amihez jó az NTLM hash is (kb. ez az egyetlen, amivel alapból egy Windows hajlandó authentikálni).

up
Senki nem próbálkozott ilyesmivel?

És VPN esetén használt valaki OTP-t? Ott vannak hasonló problémák?

Kellene valami a sima wifi jelszónál biztonságosabb, és az OTP az megfelelő lenne. Még ki kell tapasztalni, mennyire használható.
Alternatíva a certificate alapú beléptetés, de az szerintem problémásabb.

VPN-el sikerült beállítani az OTP-t, de csak úgy, hogy bepipáltam kliens oldalon a PAP-ot, ami az IPSec miatt elfogadható kompromisszum.

Kellene valami a sima wifi jelszónál biztonságosabb, és az OTP az megfelelő lenne.

Guest Wifi + VPN-t akarsz inkább. Az egy bejáratott út, és akkor lehet a kinti és a wifis júzereket egyformán kezelni.

Alternatíva a certificate alapú beléptetés, de az szerintem problémásabb.

Pedig ez az igazán korrekt megoldás... mondjuk tényleg szopás konfigurálni.