WPA2 enterprise: настройка имени пользователя / пароля без запроса в смешанной сети: XP/SP3, Mac OS X, Linux, iOS

Недавно я задал вопрос о создании предприятия WPA2, и у меня есть пара дополнительных вопросов. Во-первых, относительно использования файлов OpenSSL cnf для генерации сертификата. У меня есть несколько из них в /etc/raddb/certs, которая вошла в мою инсталляцию freeradius на мою коробку Gentoo. у меня есть ca.cnf; server.cnf а также client.cnf, Мои вопросы как ниже:

  1. Если я хочу настроить настройку имени пользователя / пароля без запроса для предприятия WPA2 (я хочу, чтобы файл пользователей использовал сертификаты)- могу ли я сделать это, следуя той же процедуре, которую я выполнил для "клиента Windows XP" на шаге 1 freeradius howto? Я добавлю конфигурацию eap.conf, как указано в ответе на мой вопрос выше. Обратите внимание, что это проблема, с которой я сталкиваюсь в системах на основе Mac OS X. Мой ноутбук с Windows XP/SP3, похоже, не имеет этой проблемы, так как я добавил файл ca.der (установка двойным щелчком мыши) и файл client.p12 к нему (см. Руководство по freeradius, шаг 1, "Windows XP"). клиент ").
  2. Как импортировать определенные ключи на iPhone и другие персональные устройства, такие как iPad, планшеты Android и т. Д.?

1 ответ

Решение

После долгих прогулок по страницам руководства для openssl.cnf и конфигурации на различных iPhone и iPod дома, я наконец-то нашел ответ на поставленный вопрос.

Мое решение обеспечивает следующее: (а) имя пользователя / пароль без входа в систему безопасным способом с использованием EAP-TLS через WPA2-enterprise, и (b) (возможно, немного более надежная защита) без пароля, но имя пользователя требуется для входа в безопасном Манера через WPA2-предприятие. Вариант (б) действительно, раскомментируя check_cert_cn в eap.conf файл, и требующий имя пользователя (есть ряд name атрибуты, будьте немного осторожнее) отправлено. Потенциальный хакер может иметь ваш сертификат, но, возможно, у него нет вашего имени пользователя, но это не совсем мера безопасности для хакера, который знает, как обходиться с сертификатами и WPA2 enterprise.

В сущности, процедура заключается в том, что вы измените client.cnf файл для каждого клиента, которого вы хотите добавить в сеть и восстановить ключи, используя make client.pem, который производит client.p12 файл, который вы должны загрузить на свои клиентские машины - это означает, что каждый клиент получает свой собственный ключ для шифрования, что означает, что один клиент в сети не может шпионить за пакетами другого в случайном режиме. Если у вас есть какие-либо проблемы во время создания client.pem s: make client.pem бомбы по любой причине, то обратите особое внимание на serial а также serial.old, а также index.txt а также index.txt.old: конкретно mv serial.old serial а также mv index.txt.old index.txt и переделать make client.pem после устранения проблемы (например, неверно cnf файл из-за опечаток - скорее всего, из-за того, что специальные символы иногда не разрешены для паролей в client.cnf файл - я был бы признателен всем, кто читает это, чтобы указать мне на ресурсы, касающиеся использования специальных символов в *.cnf файлы).

Теперь подробности: на компьютерах с Windows требуется другая процедура: для каждого клиента Windows XP вам необходимо использовать методы, упомянутые в README файл в /etc/raddb/certs/, Затем вы должны выполнить шаги, описанные в разделе "Шаг 1. Создание сертификатов: на клиенте Windows XP" в руководстве FreeRadius, и подключиться с помощью шага 4 того же руководства на сайте FreeRadius.

Для всех машин, прежде чем делать выше для каждого клиента, вы должны изменить client.cnf файл для имен пользователей и паролей для каждого из клиентов. мой cnf измененные файлы действительно коснулись только [ req ] раздел client.cnf файл для изменения distinguished_name, input_passwordand output_password, Обратите внимание, что в следующем разделе следует описать имя клиента, описанное как значение для distinguished_name приписывать. Например, если у вас было distinguished_name = beeblebrox в [ req ] раздел, то следующий раздел будет начинаться как [ beeblebrox ], Здесь вы настроите атрибуты соответственно скучно (то же самое для большинства клиентов в вашей сети, за исключением emailAddress, который будет меняться для каждого клиента).

В конце этого процесса вы закончили генерировать *.p12 цифровой профиль / файл обмена личной информацией для каждого клиента. Этот файл содержит закрытый ключ, который клиент будет использовать для связи в сети. Теперь вы должны установить эти цифровые профили на клиентов.

На компьютерах с Windows будет выполнена процедура установки сертификатов и подключения к корпоративной сети WPA2, как уже упоминалось выше. Все остальные машины нуждаются в *.p12 файл, который был создан для них (удобно назвать их для каждого клиента: xp1.p12, xp2.p12, ios1.p12, ios2.p12, macosx1.p12 и т. д.) для подключения к серверу RADIUS. Как вы скачиваете *.p12 файл на машины надежно? Для ноутбуков эта проблема тривиально решается с помощью съемных носителей или, если вы подключены через Ethernet к хост-сети, scp файла. Для айфонов и других устройств это немного сложно. Я не уверен, стоит ли использовать небезопасную электронную почту, учитывая тот факт, что *.p12 file contains the private key to be used by the clients. Perhaps you digitally encrypt your email so it is OK. But I solved it by hosting the *.p12 files locally on a webserver and downloading them onto the IOS devices.

On the MAC, you can follow the steps provided in here but make sure you add the *.p12 file to the keychain on your MAC before you do so (see here). The 802.1x authentication in your WPA2 enterprise configurations (you may have to explicitly check TLS in the configuration).

On the IOS devices, you first download the *.p12 file which will let you add this certificate as a profile (download of the *.p12 file starts the process automatically). Then, you go to settings->WiFi->add your WPA2 enterprise network, and specify the SSID, and then change the mode to EAP-TLS, Once you do that, the Identity option appears, which, when you click, offers the *.p12 profile option. Check the option, and return to the screen. Depending on whether or not you have chosen total username/password-less login to the enterprise system, or password-less login, you may have to enter the username from the corresponding client.cnf file used to generate the *.p12 файл. Once you click join, you are in!

I'd appreciate someone adding the plug for wireless access via linux.

I'll pipe in once I can talk more on the number of times I have to re-login etc.--I might have seen this problem on my IOS devices, but I have to check again.

Другие вопросы по тегам