Temos um pequeno escritório com ~ 20 pessoas, cada um usando um MacBook e, opcionalmente, conectando-se a um telefone celular também. Anteriormente, usamos o Wi-Fi normal com uma chave compartilhada, mas recentemente eu o reconfigurei para o WPA Enterprise, onde todos os usuários receberam suas próprias credenciais: o par de login / senha. A autenticação passa por um serviço freeradius em execução em uma caixa do AWS EC2.
O servidor RADIUS não está configurado para usar nenhum certificado, cada usuário tem uma entrada no arquivo /etc/freeradius/users que se parece com isso:
john.doe Cleartext-Password := "my_password"
O cliente RADIUS foi configurado de uma forma minimalista - aqui está o nosso /etc/freeradius/clients.conf
client RADIUSClient {
ipaddr = <our office external IP>
secret = <secret key shared with the Access Point>
require_message_authenticator = no
}
Esta configuração parece funcionar bem com todos os telefones celulares e a maioria dos MacBooks. Os MacBooks primeiro reclamam de um certificado auto-assinado não confiável (o que é compreensível), mas depois de definir esse certificado como confiável, tudo funciona bem.
No entanto, alguns MacBooks, depois de se conectarem com sucesso, começam a exibir erros de autenticação em intervalos aleatórios (de 1 a 30 minutos):
Authentication failed on network “Network SSID”.
The authentication server is unresponsive. Contact your network administrator to check the network infrastructure.
Existe um único botão "Desconectar" nesta caixa de diálogo. No entanto, até o usuário pressionar esse botão, o MacBook permanece perfeitamente conectado. A janela pode ser movida para longe da tela, mas ela sobe para o centro de novo e de novo, irritando os usuários. Clicar em "Desconectar" desconecta o laptop do Wi-Fi e, em alguns segundos, o Mac se reconecta à mesma rede, deixando um registro de login bem-sucedido nos registros do servidor RADIUS.
Ao tentar investigar, vi que, quando conectado à rede WPA Enterprise, o MacBook exibe uma entrada adicional na configuração de rede denominada 802.1X . Quando normalmente conectado, ele diz "Autenticado via EAP-PEAP (MSCHAPv2)" o tempo todo desde que conectado ( ver captura de tela ). Pressionar o botão "Desconectar" desconecta imediatamente o laptop do Wi-Fi.
Nos laptops que apresentam problemas com a janela de problemas de autenticação, após algum período aleatório, a mensagem "Authenticated via ..." desaparece e uma nova tentativa de autenticação é iniciada ( veja a captura de tela ). Depois de algum tempo, a mensagem muda para "O servidor de autenticação não está respondendo". Olhei para os logs do servidor RADIUS: toda vez que um usuário se conecta ao Wi-Fi, há um registro de autenticação bem-sucedido, mas nada é registrado durante essas tentativas de autenticação exibidas na seção "802.1X".
Após vários ciclos entre as mensagens "Autenticando ..." e "O servidor de autenticação não está respondendo", a caixa de diálogo é exibida.
Como isso só acontece em alguns laptops, não acho que isso seja um problema no servidor, mas não tenho ideia de como consertar o problema para quem o tem. Eu não tinha inicialmente, mas quando comecei a experimentar com a troca de redes, excluindo e recriando redes, consegui reproduzir o problema e agora não consigo me livrar dele:)
Alguém pode sugerir a direção correta da investigação?
ATUALIZAÇÃO (03/03/2017). Por fim, decidiu-se mudar para um ponto de acesso de classe empresarial. Nós compramos e instalamos o UniFi APAC PRO , e o problema desapareceu.
Você executou o diagnóstico de Wi-Fi em um dos seus Macs afetados? Pode revelar algo fora de sua rede, como um ponto de acesso próximo que não tenha seu código de país configurado corretamente. Isso aconteceu conosco quando a FiveGuys entrou no andar de baixo e configurou um hotspot configurado incorretamente. Sua mudança para um UniFi AP, enquanto uma boa escolha ainda pode estar encobrindo a causa raiz.
Tags wifi mac-osx freeradius
