Próbuję skonfigurować uwierzytelnioną sieć Wi-Fi za pomocą Freeradius. Udało mi się sprawić, że wszystko działa, używając certyfikatów z podpisem własnym itp.
Problem polega na tym, że klienci Windows muszą odznaczyć opcję „ Automatycznie używaj mojej nazwy logowania i hasła do systemu Windows [itd.]” W ustawieniach MSCHAPv2. Kiedy łączę się z moim lokalnym uniwersytetem za pomocą Eduroam, automatycznie pyta o nazwę użytkownika i hasło zamiast wysyłać dane logowania do systemu Windows. Jak sysadmini to osiągnęli? Czy to jakiś atrybut RADIUS, który zostaje odesłany?
wifi
freeradius
security
wpa2
Vincent O.
źródło
źródło
Odpowiedzi:
To raczej odpowiedź na komentarze niż pytanie, ale umieszczenie go tutaj, aby móc go sformatować:
Możesz użyć pozycji DOMYŚLNE w pliku użytkowników wraz z grupą myśliwską, aby dopasować użytkowników na podstawie podanej nazwy użytkownika.
Pierwszym krokiem byłoby uruchomienie radiusd w trybie debugowania
radiusd -Xi przechwycenie formatu, w którym pojawia się nazwa użytkownika, ponieważ podczas uwierzytelniania jako zalogowany użytkownik, iirc to coś w stylu / nazwa hosta $ / konto.Następnie możesz określić grupę myśliwską
$raddbdir/huntgroupsza pomocą wyrażenia regularnego:badusers User-Name =~ ^aregex.*$Następnie dodaj grupę myśliwską do reguły z typem zwrotu odmowy dostępu w
userspliku.DEFAULT Huntgroup-Name == badusers, Auth-Type := RejectTo, czy spowoduje to, że system Windows wyświetli monit o podanie nazwy użytkownika i hasła, zależy od serwera NAS i suplikanta WPA systemu Windows.
źródło