Freeradius e self-signed-certificate

Navegue suas respostas
1

nossa atual infra-estrutura de wi-fi é baseada em uma caixa Debian que hospeda o Freeradius com backend LDAP. Atualmente, temos dois SSIDs protegidos por 802.1x, uma rede pública e uma privada: dependendo de um atributo LDAP, um usuário pode se conectar à primeira ou à segunda rede.

Como o nosso Freeradius possui certificado autoassinado, estamos tendo alguns problemas com os clientes do Windows 7, que precisam de um certificado de servidor instalado para realizar a conexão: isso é um pouco irritante especialmente para a rede pública, porque precisamos configurar cada PC vem dentro

Eu queria saber se existe um jeito (além de comprar um certificado comercial para freeradius, infelizmente eu li [ link ] que o cliente Windows não aceita certificados curinga, que já possuímos ...) para fazer com que os clientes aceitem esse certificado mais facilmente: uma solução alternativa poderia ser o log de um portal cativo? É possível configurar um portal cativo apenas para a rede pública?

    
por J.B. 09.03.2015 / 18:04

2 respostas

3

O suplicante não pode verificar o CN no certificado, então você poderia apresentar qualquer certificado para o suplicante (exceto certs curinga) e funcionaria.

Você realmente não tem outra opção senão instalar uma CA local ou obter um certificado assinado por uma autoridade de certificação comercial confiável.

Em termos de portais cativos, não é possível fazer fallback para um portal cativo em uma rede WPA / 2-Enterprise.

Você pode configurar um terceiro SSID não criptografado com um portal cativo para ajudar os usuários a fazer o bootstrap, fornecendo configurações de rede sem fio e certificados.

Essa é uma prática comum em redes acadêmicas onde algo como Cloudpath xpressconnect ou eduroam cat é usado para implantar configurações.

    
por 12.04.2015 / 17:59
1

Por fim, mudamos nosso WiFi público do 802.1x para o portal cativo não criptografado + CoovaChilli. A autenticação ainda é baseada no Freeradius + LDAP, compartilhado com a rede privada, que deixamos inalterado no 802.1x.

Conseguimos manter WLANs separadas com diferentes métodos de autenticação, pois os clientes são mantidos em duas VLANs e LANs separadas, e nossos pontos de acesso permitem a transmissão de vários SSIDs por antena.

O CoovaChilli se comporta muito bem com clientes Windows 7/8 (sem solicitações de certificado, um pop-up é exibido informando ao usuário para fazer login no navegador), dispositivos Android / iOS reconhecem o portal cativo e redirecionam o usuário para a página da web.

    
por 25.05.2015 / 16:54

Tags

De onde os computadores / servidores em um domínio do Windows obtêm suas configurações de horário? [duplicado] O que pode acontecer com o rDNS errado?