Configurando o WPA2-Enterprise com o Freeradius

9

Estou tentando configurar uma rede wifi autenticada com o Freeradius. Consegui fazer com que as coisas funcionassem usando certificados auto-assinados, etc.

O problema é que os clientes Windows precisam desmarcar a opção " Usar automaticamente o nome e a senha de logon do Windows [etc.]" nas configurações do MSCHAPv2. Quando eu me conecto à minha universidade local com Eduroam, ele automaticamente pede um nome de usuário e senha em vez de enviar credenciais de login do Windows. Como os sysadmins conseguiram isso? É algum tipo de atributo RADIUS que é enviado de volta?

    
por Vincent O. 01.02.2012 / 18:11

1 resposta

2

Isso é mais uma resposta aos comentários do que a pergunta, mas colocando-a aqui para que eu possa formatá-la:

Você pode usar a entrada DEFAULT em seu arquivo de usuários junto com um huntgroup para corresponder aos usuários com base no nome de usuário fornecido.

O primeiro passo seria executar o radiusd no modo de depuração radiusd -X e capturar o formato no qual o nome de usuário aparece quando estiver autenticando como usuário logado, iirc é algo como / hostname $ / account.

Você pode especificar o grupo de busca em $raddbdir/huntgroups usando uma expressão regular:

badusers User-Name =~ ^aregex.*$

Em seguida, adicione o huntgroup a uma regra com um tipo de retorno de rejeição de acesso no arquivo users .

DEFAULT Huntgroup-Name == badusers, Auth-Type := Reject

Se isso fará com que o Windows solicite um nome de usuário e uma senha, depende do seu NAS e do suplicante WPA do Windows.

    
por 12.04.2012 / 12:56