Я недавно задал вопрос о настройка WPA2 Enterprise, и у меня есть пара дополнительных вопросов. Во-первых, что касается использования файлов OpenSSL cnf для генерации сертификатов. У меня их несколько в /etc/raddb/certs
, который был частью моей установки freeradius на моем Gentoo. у меня есть ca.cnf
; server.cnf
и client.cnf
. Мои вопросы следующие:
После долгих поисков man-страниц для openssl.cnf
и конфигурации различных iPhone и iPod в домашних условиях, я наконец-то нашел ответ на заданный мной вопрос.
Мое решение обеспечивает следующее: (а) вход в систему без имени пользователя / без пароля безопасным способом с использованием EAP-TLS через WPA2-enterprise, и (б) (возможно, немного более надежная безопасность) без пароля, но требуется имя пользователя для входа в безопасный способом через WPA2-предприятие. Вариант (б) действительно путем раскомментирования check_cert_cn
в eap.conf
файл и требуя имя пользователя (есть ряд name
атрибуты, будьте осторожны) отправляется. У потенциального хакера может быть ваш сертификат, но у него, возможно, нет вашего имени пользователя, но это не совсем мера безопасности для хакера, который разбирается в сертификатах и предприятии WPA2.
По сути, процедура состоит в том, что вы измените client.cnf
файл для каждого клиента, которого вы хотите добавить в сеть, и повторно сгенерировать ключи, используя make client.pem
, что дает client.p12
файл, который вы должны загрузить на свои клиентские машины - это означает, что каждый клиент получает свой собственный ключ для шифрования, что означает, что один клиент в сети не может шпионить за пакетами другого через неразборчивый режим. Если у вас возникнут проблемы во время создания client.pem
s: make client.pem
бомбы по любой причине, то обратите особое внимание на serial
и serial.old
, и index.txt
и index.txt.old
: в частности, mv serial.old serial
и mv index.txt.old index.txt
и повторить make client.pem
после устранения проблемы (например, неверный cnf
файл из-за опечаток - скорее всего, из-за того, что специальные символы иногда не разрешены для паролей в client.cnf
файл - я был бы признателен любому, кто прочитает это, чтобы указать мне на ресурсы, касающиеся использования специальных символов в *.cnf
файлы).
Теперь подробности: машинам Windows нужна другая процедура: для каждого клиента Windows XP вам нужно будет использовать методы, упомянутые в README
файл в /etc/raddb/certs/
. Затем вы должны выполнить шаги, описанные в «Шаг 1: Создание сертификатов: на клиенте Windows XP» в FreeRadius. как, и подключиться, используя шаг 4 того же руководства на сайте FreeRadius.
Для всех машин, прежде чем вы сделаете вышеуказанное для каждого клиента, вы должны изменить client.cnf
файл для имен пользователей и паролей для каждого из клиентов. Мой cnf
файлы изменены действительно только коснулись [ req ]
раздел client.cnf
файл для изменения distinguished_name
, input_password
and output_password
. Обратите внимание, что в следующем разделе следует описать имя клиента, описанное как значение для distinguished_name
атрибут. Например, если у вас distinguished_name = beeblebrox
в [ req ]
раздел, то следующий раздел будет начинаться как [beeblebrox ]
. Здесь вы соответствующим образом настроите атрибуты (то же самое для большинства клиентов в вашей сети, за исключением emailAddress
, который будет меняться для каждого клиента).
В конце этого процесса вы закончите создание *.p12
цифровые профили / файл обмена личной информацией для каждого клиента. Этот файл содержит закрытый ключ, который клиент будет использовать для связи в сети. Теперь вам нужно установить эти цифровые профили на клиентов.
Компьютеры с Windows будут выполнять процедуру установки сертификатов и подключения к корпоративной сети WPA2, как уже упоминалось выше. Все остальные машины нуждаются в *.p12
файл, который был создан для них (удобно называть их для каждого клиента: xp1.p12
, xp2.p12
, ios1.p12
, ios2.p12
, macosx1.p12
и т. д.) для подключения к серверу RADIUS. Как скачать *.p12
файл на машины надежно? Для ноутбуков проблема тривиально решается с помощью съемных носителей или, если вы подключены через Ethernet к хост-сети, scp файла. Для iPhone и других устройств это немного сложно. Я не уверен, что использование небезопасной электронной почты является правильным решением, учитывая тот факт, что *.p12
файл содержит закрытый ключ для использования клиентами. Возможно, вы зашифруете электронную почту цифровым способом, так что все в порядке. Но я решил это, разместив *.p12
файлы локально на веб-сервере и загружая их на устройства IOS.
На MAC вы можете выполнить шаги, указанные в Вот но не забудьте добавить *.p12
файл в связку ключей на вашем MAC, прежде чем вы это сделаете (см. Вот). Аутентификация 802.1x в корпоративных конфигурациях WPA2 (возможно, вам придется явно проверить TLS
в комплектации).
На устройствах IOS вы сначала загружаете *.p12
файл, который позволит вам добавить этот сертификат в качестве профиля (загрузка *.p12
файл запускает процесс автоматически). Затем вы переходите в настройки-> WiFi-> добавьте свою корпоративную сеть WPA2 и укажите SSID, а затем измените режим на EAP-TLS
. Как только вы это сделаете, Identity
появляется опция, которая при нажатии предлагает *.p12
вариант профиля. Отметьте опцию и вернитесь к экрану. В зависимости от того, выбрали ли вы полное имя пользователя / вход без пароля в корпоративную систему или вход без пароля, вам может потребоваться ввести имя пользователя из соответствующего client.cnf
файл, используемый для создания *.p12
файл. Как только вы нажмете «Присоединиться», вы в игре!
Буду признателен, если кто-нибудь добавит разъем для беспроводного доступа через Linux.
Я позвоню, как только смогу подробнее рассказать о том, сколько раз мне нужно повторно входить в систему и т. Д. - Возможно, я видел эту проблему на своих устройствах IOS, но мне нужно проверить еще раз.