Mengkonfigurasi WPA2-Enterprise dengan Freeradius

9

Saya mencoba mengatur jaringan wifi terotentikasi dengan Freeradius. Saya telah berhasil membuat semuanya bekerja menggunakan sertifikat yang ditandatangani sendiri, dll.

Masalahnya adalah klien Windows harus menghapus centang pada opsi " Secara otomatis menggunakan nama logon windows saya dan kata sandi [dll]" di pengaturan MSCHAPv2. Ketika saya terhubung ke universitas lokal saya dengan Eduroam, ia secara otomatis meminta nama pengguna dan kata sandi alih-alih mengirim kredensial masuk windows. Bagaimana sysadmin mencapai ini? Apakah ini semacam Atribut RADIUS yang dikirim kembali?

Vincent O.
sumber
Sudahkah Anda mencoba mengirim email kepada administrator Eduroam Universitas Anda?
Michael
Saya telah mengirim email kepada administrator eduroam nasional saya, sejauh ini tidak ada jawaban.
Vincent O.
Mungkin saja, ketika kredensial awal dikirim, RADIUS mengembalikan Access-Reject sehingga Windows memutuskan untuk meminta pengguna alih-alih mengirim kredensial lain lagi. Apakah Anda menggunakan SecureW2 atau yang lain?
Michael
-edit- Sekarang rusak lagi. Saya menggunakan pemohon asli Win7. Bagaimana saya mengirim kembali Access-Reject? Bisakah saya menggunakan entri DEFAULT di file konfigurasi pengguna untuk itu dan jika ya, bagaimana?
Vincent O.
Setiap panduan yang saya lihat untuk Eduroam mengharuskan Anda untuk membuat perubahan yang sama pada profil konfigurasi untuk Eduroam.
Zanchey

Jawaban:

2

Ini lebih merupakan jawaban atas komentar daripada pertanyaan, tetapi menaruhnya di sini sehingga saya dapat memformatnya:

Anda dapat menggunakan entri DEFAULT dalam file pengguna Anda bersama dengan huntgroup untuk mencocokkan pengguna berdasarkan nama pengguna yang disediakan.

Langkah pertama adalah menjalankan radiusd dalam mode debug radiusd -Xdan menangkap format di mana nama pengguna masuk saat ia mengautentikasi sebagai pengguna yang masuk, iirc itu seperti / hostname $ / akun.

Anda kemudian dapat menentukan huntgroup dalam $raddbdir/huntgroupsmenggunakan ekspresi reguler:

badusers User-Name =~ ^aregex.*$

Kemudian tambahkan huntgroup ke aturan dengan tipe pengembalian akses-tolak dalam usersfile.

DEFAULT Huntgroup-Name == badusers, Auth-Type := Reject

Apakah ini akan menyebabkan Windows meminta nama pengguna dan kata sandi tergantung pada NAS Anda dan pemohon WPA Windows.

James Yale
sumber