Назад | Перейти на главную страницу

WPA2 Enterprise: настройка без запроса имени пользователя и пароля в смешанной сети: XP / SP3, Mac OS X, Linux, iOS

Я недавно задал вопрос о настройка WPA2 Enterprise, и у меня есть пара дополнительных вопросов. Во-первых, что касается использования файлов OpenSSL cnf для генерации сертификатов. У меня их несколько в /etc/raddb/certs, который был частью моей установки freeradius на моем Gentoo. у меня есть ca.cnf; server.cnf и client.cnf. Мои вопросы следующие:

  1. Если я хочу настроить настройку без запроса имени пользователя и пароля для предприятия WPA2 (я хочу, чтобы файл пользователей использовал сертификаты), могу ли я сделать это, следуя той же процедуре, которую я выполнил для «Клиент Windows XP» на шаге 1 из Freeradius Howto? Я добавлю конфигурацию eap.conf, как указано в ответе на мой вопрос выше. Обратите внимание, что это проблема, с которой я сталкиваюсь в системах на базе Mac OS X. У моего ноутбука с Windows XP / SP3, похоже, нет этой проблемы, поскольку я добавил в него файл ca.der (установка двойным щелчком) и файл client.p12 (см. Freeradius Howtoв Шаге 1, «Клиент Windows XP»).
  2. Как мне импортировать определенные ключи на iPhone и другие личные устройства, такие как iPad, планшеты Android и т. Д.?

После долгих поисков man-страниц для openssl.cnf и конфигурации различных iPhone и iPod в домашних условиях, я наконец-то нашел ответ на заданный мной вопрос.

Мое решение обеспечивает следующее: (а) вход в систему без имени пользователя / без пароля безопасным способом с использованием EAP-TLS через WPA2-enterprise, и (б) (возможно, немного более надежная безопасность) без пароля, но требуется имя пользователя для входа в безопасный способом через WPA2-предприятие. Вариант (б) действительно путем раскомментирования check_cert_cn в eap.conf файл и требуя имя пользователя (есть ряд name атрибуты, будьте осторожны) отправляется. У потенциального хакера может быть ваш сертификат, но у него, возможно, нет вашего имени пользователя, но это не совсем мера безопасности для хакера, который разбирается в сертификатах и ​​предприятии WPA2.

По сути, процедура состоит в том, что вы измените client.cnf файл для каждого клиента, которого вы хотите добавить в сеть, и повторно сгенерировать ключи, используя make client.pem, что дает client.p12 файл, который вы должны загрузить на свои клиентские машины - это означает, что каждый клиент получает свой собственный ключ для шифрования, что означает, что один клиент в сети не может шпионить за пакетами другого через неразборчивый режим. Если у вас возникнут проблемы во время создания client.pems: make client.pem бомбы по любой причине, то обратите особое внимание на serial и serial.old, и index.txt и index.txt.old: в частности, mv serial.old serial и mv index.txt.old index.txtи повторить make client.pem после устранения проблемы (например, неверный cnf файл из-за опечаток - скорее всего, из-за того, что специальные символы иногда не разрешены для паролей в client.cnf файл - я был бы признателен любому, кто прочитает это, чтобы указать мне на ресурсы, касающиеся использования специальных символов в *.cnf файлы).

Теперь подробности: машинам Windows нужна другая процедура: для каждого клиента Windows XP вам нужно будет использовать методы, упомянутые в README файл в /etc/raddb/certs/. Затем вы должны выполнить шаги, описанные в «Шаг 1: Создание сертификатов: на клиенте Windows XP» в FreeRadius. как, и подключиться, используя шаг 4 того же руководства на сайте FreeRadius.

Для всех машин, прежде чем вы сделаете вышеуказанное для каждого клиента, вы должны изменить client.cnf файл для имен пользователей и паролей для каждого из клиентов. Мой cnf файлы изменены действительно только коснулись [ req ] раздел client.cnf файл для изменения distinguished_name, input_password and output_password. Обратите внимание, что в следующем разделе следует описать имя клиента, описанное как значение для distinguished_name атрибут. Например, если у вас distinguished_name = beeblebrox в [ req ] раздел, то следующий раздел будет начинаться как [beeblebrox ]. Здесь вы соответствующим образом настроите атрибуты (то же самое для большинства клиентов в вашей сети, за исключением emailAddress, который будет меняться для каждого клиента).

В конце этого процесса вы закончите создание *.p12 цифровые профили / файл обмена личной информацией для каждого клиента. Этот файл содержит закрытый ключ, который клиент будет использовать для связи в сети. Теперь вам нужно установить эти цифровые профили на клиентов.

Компьютеры с Windows будут выполнять процедуру установки сертификатов и подключения к корпоративной сети WPA2, как уже упоминалось выше. Все остальные машины нуждаются в *.p12 файл, который был создан для них (удобно называть их для каждого клиента: xp1.p12, xp2.p12, ios1.p12, ios2.p12, macosx1.p12 и т. д.) для подключения к серверу RADIUS. Как скачать *.p12 файл на машины надежно? Для ноутбуков проблема тривиально решается с помощью съемных носителей или, если вы подключены через Ethernet к хост-сети, scp файла. Для iPhone и других устройств это немного сложно. Я не уверен, что использование небезопасной электронной почты является правильным решением, учитывая тот факт, что *.p12 файл содержит закрытый ключ для использования клиентами. Возможно, вы зашифруете электронную почту цифровым способом, так что все в порядке. Но я решил это, разместив *.p12 файлы локально на веб-сервере и загружая их на устройства IOS.

На MAC вы можете выполнить шаги, указанные в Вот но не забудьте добавить *.p12 файл в связку ключей на вашем MAC, прежде чем вы это сделаете (см. Вот). Аутентификация 802.1x в корпоративных конфигурациях WPA2 (возможно, вам придется явно проверить TLS в комплектации).

На устройствах IOS вы сначала загружаете *.p12 файл, который позволит вам добавить этот сертификат в качестве профиля (загрузка *.p12 файл запускает процесс автоматически). Затем вы переходите в настройки-> WiFi-> добавьте свою корпоративную сеть WPA2 и укажите SSID, а затем измените режим на EAP-TLS. Как только вы это сделаете, Identity появляется опция, которая при нажатии предлагает *.p12 вариант профиля. Отметьте опцию и вернитесь к экрану. В зависимости от того, выбрали ли вы полное имя пользователя / вход без пароля в корпоративную систему или вход без пароля, вам может потребоваться ввести имя пользователя из соответствующего client.cnf файл, используемый для создания *.p12 файл. Как только вы нажмете «Присоединиться», вы в игре!

Буду признателен, если кто-нибудь добавит разъем для беспроводного доступа через Linux.

Я позвоню, как только смогу подробнее рассказать о том, сколько раз мне нужно повторно входить в систему и т. Д. - Возможно, я видел эту проблему на своих устройствах IOS, но мне нужно проверить еще раз.