Mamy małe biuro z ok. 20 osobami, z których każda korzysta z MacBooka i opcjonalnie łączy się z telefonem komórkowym. Wcześniej korzystaliśmy ze zwykłego Wi-Fi ze wspólnym kluczem, ale ostatnio zmieniłem konfigurację na WPA Enterprise, gdzie wszyscy użytkownicy otrzymali swoje dane uwierzytelniające: parę login / hasło. Uwierzytelnianie przechodzi przez freeradius
usługę działającą na urządzeniu AWS EC2.
Serwer RADIUS nie jest skonfigurowany do używania żadnych certyfikatów, każdy użytkownik ma wpis w /etc/freeradius/users
pliku, który wygląda następująco:
john.doe Cleartext-Password := "my_password"
Klient RADIUS został skonfigurowany w minimalistyczny sposób - oto nasz /etc/freeradius/clients.conf
client RADIUSClient {
ipaddr = <our office external IP>
secret = <secret key shared with the Access Point>
require_message_authenticator = no
}
Ta konfiguracja wydaje się działać dobrze ze wszystkimi telefonami komórkowymi i większością komputerów MacBook. MacBooki najpierw narzekają na niezaufany samopodpisany certyfikat (co jest zrozumiałe), ale po ustawieniu tego certyfikatu jako zaufanego wszystko działa bezproblemowo.
Jednak niektóre MacBooki po udanym połączeniu zaczynają wyświetlać błędy uwierzytelniania w losowych odstępach czasu (1-30 minut):
Authentication failed on network “Network SSID”.
The authentication server is unresponsive. Contact your network administrator to check the network infrastructure.
W tym oknie dialogowym znajduje się jeden przycisk „Rozłącz”. Jednak dopóki użytkownik nie naciśnie tego przycisku, MacBook pozostaje doskonale podłączony. Okno można odsunąć od ekranu, ale wciąż podskakuje do środka, irytując użytkowników. Kliknięcie przycisku „Rozłącz” powoduje odłączenie laptopa od Wi-Fi, a następnie w ciągu kilku sekund komputer Mac ponownie łączy się z tą samą siecią, pozostawiając zapis pomyślnego logowania w dziennikach serwera RADIUS.
Podczas próby sprawdzenia zauważyłem, że po podłączeniu do sieci WPA Enterprise MacBook wyświetla dodatkowy wpis w ustawieniu sieci o nazwie 802.1X . Po normalnym połączeniu napis „Uwierzytelniony przez EAP-PEAP (MSCHAPv2)” przez cały czas od połączenia ( patrz zrzut ekranu ). Naciśnięcie przycisku „Rozłącz” powoduje natychmiastowe odłączenie laptopa od Wi-Fi.
Na laptopach, które mają ten problem z wyskakującym oknem problemu z uwierzytelnianiem, po pewnym czasie znika komunikat „Uwierzytelnianie przez ...” i rozpoczyna się nowa próba uwierzytelnienia ( patrz zrzut ekranu ). Po pewnym czasie wiadomość zmienia się na „Serwer uwierzytelniania nie odpowiada”. Przejrzałem dzienniki serwera RADIUS: za każdym razem, gdy użytkownik łączy się z Wi-Fi, istnieje udany rekord uwierzytelnienia, ale nic nie jest rejestrowane podczas tych prób uwierzytelnienia wyświetlanych w sekcji „802.1X”.
Po kilku cyklach między komunikatami „Uwierzytelnianie ...” i „Serwer uwierzytelniania nie odpowiada” pojawia się okno dialogowe.
Ponieważ dzieje się tak tylko na kilku laptopach, nie sądzę, że jest to problem z serwerem, ale nie mam pojęcia, jak rozwiązać problem dla tych, którzy go mają. Początkowo nie miałem tego, ale kiedy zacząłem eksperymentować z przełączaniem sieci, usuwaniem i ponownym tworzeniem sieci, udało mi się odtworzyć problem i teraz nie mogę się go pozbyć :)
Czy ktoś może zasugerować właściwy kierunek dochodzenia?
AKTUALIZACJA (03.03.2017). Ostatecznie zdecydowano się na punkt dostępu klasy korporacyjnej. Kupiliśmy i zainstalowaliśmy UniFi APAC PRO i problem zniknął.
źródło
Odpowiedzi:
Czy przeprowadziłeś diagnostykę WiFi na jednym z komputerów Mac? Może ujawnić coś poza siecią, na przykład pobliski punkt dostępu, który nie ma poprawnie skonfigurowanego kodu kraju. Stało się tak, gdy FiveGuys przeniosło się na dół i skonfigurowało nieprawidłowo skonfigurowany punkt dostępu. Twoja zmiana na AP UniFi, podczas gdy dobrym wyborem może nadal być ukrywanie pierwotnej przyczyny.
źródło
Inną opcją jest to, że MacOS lubi okresowo skanować w poszukiwaniu dostępnych sieci. Aby to zrobić, następuje krótkie odłączenie od Wi-Fi. Na komputerze Mac jest ustawienie automatycznego łączenia się z pobliskimi sieciami, które można wyłączyć. Istnieje również konfiguracja Wi-Fi (nie pamiętam jej), aby nie próbowała często przeskakiwać z AP na AP. Te skoki mogą zakłócić działanie sieci.
źródło