WiFi Enterprise / 802.1x / PEAP / RADIUS do Windows: Vários dispositivos não conseguem se conectar ao usar os mesmos detalhes de autenticação

1

Estou tendo problemas para conseguir vários dispositivos para estabelecer uma conexão Wi-Fi quando eles usam os mesmos detalhes de autenticação. Aqui está um pouco sobre minha configuração sem fio:

  • Ponto de acesso único usando o WPA2 Enterprise (802.1X) - Linksys WAP4400N (sim, é bem antigo).
  • A autenticação 802.1X é PEAP, a autenticação de segunda fase é EAP-MSCHAPv2 ou certificado.
  • O servidor RADIUS é o servidor de políticas de rede do Windows Server 2008 R2.
  • Usuários autenticados em um Active Directory, qualquer pessoa ativa no grupo Usuários do domínio é permitida.
  • Os dispositivos sem fio incluem o Windows 7, dois iPhones e dois tablets Android. Nem todos esses são meus.

O problema é que, se o mesmo usuário (porque o dispositivo pertence à mesma pessoa) tentar autenticar em dois dispositivos por vez, somente o primeiro dispositivo autenticado receberá uma conexão Wi-Fi funcionando. Embora os dispositivos subseqüentes afirmem que a autenticação 802.1X foi bem-sucedida (como espelhada no log de eventos de segurança do Windows), ela sempre falhará ao recuperar um endereço IP do DHCP.

Nenhum dos dispositivos também afirmam que a autenticação 802.1X falhou, eles simplesmente continuam a "obter endereço IP" por algum tempo e depois não culpam a conectividade deficiente. O log de eventos de segurança do Windows não mostra falhas de autenticação. Definir um endereço IP estático não resolve isso; uma conexão WiFi afirma ser estabelecida, mas não haverá fluxo de dados.

Eu estou querendo saber se é o ponto de acesso em falta, ou se a maneira que eu estou autenticando é mal aconselhado? Em face disso, parece que o ponto de acesso não está satisfeito com dois suplicantes usando as mesmas credenciais de usuário, mas fiquei com a impressão de que o ponto de acesso não tem nada a dizer sobre isso. O ponto de acesso (autenticador) não é meramente uma ponte entre o suplicante e o servidor de autenticação?

Talvez eu deva emitir cada dispositivo com seu próprio certificado e, em vez disso, usar EAP-TLS ou PEAP com certificados de fase 2. Eu realmente não quero ir criando novos usuários para cada pessoa em um dispositivo WiFi separado, pois isso anula o propósito do que um usuário é, mais o endereço MAC do dispositivo é totalmente registrado, então não é como se eu não pudesse ver quais dispositivos são autenticando de qualquer maneira.

    
por Adambean 31.03.2014 / 11:39

0 respostas