В нашей компании есть следующие настройки
То, что мы хотим, - это аутентификация и авторизация в WiFi на основе LDAP через RADIUS.
Мы установили сертификат на Synology, который выдается GlobalSign для корневого домена example.com и nas.example.com (ранее мы использовали наш сертификат с подстановочными знаками, который Synology показал как самоподписанный, возможно, расширений использования не было, так что я купил еще один)
Я настроил точки доступа (WPA2) для подключения к RADIUS (на основе IP) и RADIUS для доступа к LDAP (тот же компьютер).
В основном все работает, за исключением того, что наши клиенты Win7 (и некоторые Vista) не могут выполнить рукопожатие TLS с RADIUS.
К сожалению, результат не очень хороший, так как он показывает только
Auth 2014-04-15 10:01:49 Login incorrect (TLS Alert read:fatal:access denied): [max.mustermann@example.com/<via Auth-Type = EAP>] (from client CiscoHardware port 0 cli 00-26-82-ED-61-92)
Error 2014-04-15 10:01:49 TLS Alert read:fatal:access denied
Мое предположение: соискатель (машина Win7) не принимает сертификат, что приводит к сбою аутентификации. Если я сниму флажок «Проверить сертификат сервера», все будет работать.
Проблема почти наверняка связана с сертификатом, используемым при аутентификации, поскольку к сертификату от Microsoft предъявляются строгие требования:
http://support.microsoft.com/kb/814394/en-us
Я уже проверил идентификатор объекта: 1.3.6.1.5.5.7.3.1. и присутствует в сертификате
Есть два других момента, которые я не могу полностью понять:
В радиусе присутствует один промежуточный сертификат, корневой сертификат (GloalSign) является доверенным для ОС.
О доменном имени: как это проверяет клиент, если он подключается к SSID, а точка доступа указывает на сервер RADIUS по IP?
Как мне еще немного отладить это? Я работаю на машине Win7, но при необходимости доступен Linux
Это не так ясно из вашего запроса, но ваша проблема может быть в том, что не оба ваших сертификата правильно помечены:
Согласно указанному вами URL: * Сертификат клиента должен иметь расширение 1.3.6.1.5.5.7.3.2 * Сертификат сервера должен иметь расширение 1.3.6.1.5.5.7.3.1
Я также считаю, что именно промежуточный ЦС, на который вы ссылаетесь, должен иметь расширение 1.3.6.1.5.5.7.3.1.
Короче говоря, я думаю, что ваша проблема заключается в части страницы "Требования к сертификату сервера".
Это показывает конфигурацию openssl, которую вы можете использовать при создании сертификатов: http://lists.freeradius.org/pipermail/freeradius-users/2011-April/052962.html Конечно, вам нужно будет добавить xpclient_ext / xpserver_ext к сертификатам после генерации.
Безусловно, сертификат - это проблема, которую вы можете протестировать: установите веб-сервер и настройте https. Используйте свой сертификат и привяжите его к порту https. Добавьте строку в файл hosts одного Win7Client, которая соответствует имени сертификата и IP-адресу веб-сервера. Используйте IE и откройте новую веб-страницу. IE показывает вам, является ли сертификат доверенным, и вы можете открыть свойства сертификата, чтобы увидеть подробности. Не используйте Firefox, потому что он не использует системное хранилище сертификатов