Назад | Перейти на главную страницу

Freeradius и самоподписанный сертификат

наша текущая инфраструктура Wi-Fi основана на блоке Debian, на котором размещается Freeradius с серверной частью LDAP. В настоящее время у нас есть два SSID с защитой 802.1x, общедоступная и частная сеть: в зависимости от атрибута LDAP пользователь может подключиться к первой или ко второй сети.

Поскольку наш Freeradius имеет самоподписанный сертификат, у нас возникают некоторые проблемы с клиентами Windows 7, которым требуется установленный сертификат сервера для выполнения подключения: это немного раздражает, особенно для общедоступной сети, потому что нам нужно настроить каждый компьютер, который входит.

Мне было интересно, есть ли способ (кроме покупки коммерческого сертификата для freeradius, к сожалению, я прочитал [ http://wiki.freeradius.org/guide/Certificate-Compatibility ], что клиент Windows не принимает сертификаты с подстановочными знаками, которые у нас уже есть ...), чтобы клиенты могли легче принимать этот сертификат: обходной путь может заключаться в регистрации через связанный портал? Можно ли настроить портал авторизации только для общедоступной сети?

Запрашивающая сторона не может проверить CN в сертификате, поэтому вы можете представить запрашивающей стороне любой сертификат (кроме сертификатов с подстановочными знаками), и он будет работать.

У вас действительно нет другого выбора, кроме как установить локальный ЦС или получить сертификат, подписанный доверенным коммерческим ЦС.

Что касается адаптивных порталов, невозможно вернуться к адаптивному порталу в сети WPA / 2-Enterprise.

Вы можете настроить третий незашифрованный SSID с помощью адаптивного портала, чтобы помочь пользователям выполнить загрузку, предоставив конфигурации беспроводной сети и сертификаты.

Это обычная практика в академических сетях, где что-то вроде Cloudpath xpressconnect, или эдуроам кошка используется для развертывания конфигураций.

В конце концов мы переместили наш общедоступный Wi-Fi с 802.1x на незашифрованный портал авторизации CoovaChilli. Аутентификация по-прежнему основана на Freeradius + LDAP, совместно используемой с частной сетью, которую мы оставили без изменений в 802.1x.

Нам удалось сохранить отдельные WLAN с разными методами аутентификации, потому что клиенты хранятся в двух отдельных VLAN и LAN, а наши точки доступа позволяют транслировать несколько SSID на каждую антенну.

CoovaChilli очень хорошо работает с клиентами Windows 7/8 (без запросов на сертификат, появляется всплывающее окно, сообщающее пользователю, что нужно войти в систему из браузера), устройства Android / iOS распознают администрирующий портал и перенаправляют пользователя на веб-страницу входа.