У нас есть небольшой офис, в котором примерно 20 человек, каждый из которых использует MacBook и, возможно, подключается к мобильному телефону. Раньше мы использовали обычный Wi-Fi с общим ключом, но недавно я перенастроил его на WPA Enterprise, где все пользователи получали свои учетные данные: пара логин / пароль. Аутентификация проходит через freeradius сервис, работающий на AWS EC2 box.
Сервер RADIUS не настроен для использования каких-либо сертификатов, каждый пользователь имеет запись в /etc/freeradius/users файл, который выглядит так:
john.doe Cleartext-Password := "my_password"
Клиент RADIUS настроен минималистично - вот наш /etc/freeradius/clients.conf
client RADIUSClient {
ipaddr = <our office external IP>
secret = <secret key shared with the Access Point>
require_message_authenticator = no
}
Эта настройка, похоже, отлично работает со всеми мобильными телефонами и большинством MacBook. MacBook сначала жалуется на ненадежный самозаверяющий сертификат (что понятно), но после установки этого сертификата как доверенного все работает без сбоев.
Однако некоторые MacBook после успешного подключения начинают отображать ошибки аутентификации через случайные промежутки времени (1-30 минут):
Authentication failed on network “Network SSID”.
The authentication server is unresponsive. Contact your network administrator to check the network infrastructure.
В этом диалоге есть единственная кнопка «Отключить». Тем не менее, пока пользователь не нажмет эту кнопку, MacBook останется безупречно подключенным. Окно можно отодвинуть от экрана, но оно снова и снова всплывает в центр, раздражая пользователей. Нажатие кнопки «Отключить» отключает ноутбук от Wi-Fi, а затем через пару секунд Mac повторно подключается к той же сети, оставляя запись об успешном входе в систему в журналах сервера RADIUS.
Пытаясь исследовать, я увидел, что при подключении к сети WPA Enterprise MacBook отображает дополнительную запись в настройках сети с именем 802.1X. При нормальном подключении все время с момента подключения отображается сообщение «Проверено через EAP-PEAP (MSCHAPv2)» (см. скриншот). Нажатие кнопки «Отключить» немедленно отключает ноутбук от Wi-Fi.
На тех ноутбуках, у которых возникают проблемы с появлением окна с проблемой аутентификации, после некоторого случайного периода сообщение «Аутентифицировано через ...» исчезает, и начинается новая попытка аутентификации (см. скриншот). Через некоторое время сообщение изменится на «Сервер аутентификации не отвечает». Я просмотрел журналы сервера RADIUS: каждый раз, когда пользователь подключается к Wi-Fi, происходит успешная запись аутентификации, но во время этих попыток аутентификации, отображаемых в разделе «802.1X», ничего не регистрируется.
После нескольких циклов между сообщениями «Аутентификация ...» и «Сервер аутентификации не отвечает» появляется диалоговое окно.
Поскольку это происходит только на нескольких ноутбуках, я не думаю, что это проблема сервера, но я не знаю, как решить проблему для тех, у кого она есть. Первоначально у меня его не было, но когда я начал экспериментировать с переключением сетей, удалением и воссозданием сетей, мне удалось воспроизвести проблему, и теперь я не могу от нее избавиться :)
Кто-нибудь может предложить правильное направление расследования?
ОБНОВЛЕНИЕ (03.03.2017). В итоге было решено перейти на точку доступа корпоративного класса. Купили и установили UniFi APAC PRO, и проблема исчезла.
Другой вариант - MacOS любит периодически сканировать доступные сети. Для этого происходит кратковременное отключение от вашего Wi-Fi. В Mac есть настройка для автоматического подключения к ближайшим сетям, и ее можно отключить. Существует также конфигурация Wi-Fi (я не могу вспомнить ее), чтобы он не пытался часто переключаться с AP на AP. Эти скачки могут прервать работу сети.
Вы проходили диагностику Wi-Fi на одном из поврежденных компьютеров Mac? Он может выявить что-то за пределами вашей сети, например, ближайшую точку доступа, для которой неправильно настроен код страны. Это случилось с нами, когда FiveGuys перебрались на нижний этаж и создали неправильно настроенную точку доступа. Ваш переход на точку доступа UniFi, в то время как хороший выбор, все еще может скрыть основную причину.
