Freeradius를 사용하여 WPA2-Enterprise 구성


9

Freeradius로 인증 된 Wi-Fi 네트워크를 설정하려고합니다. 자체 서명 된 인증서 등을 사용하여 일을 처리했습니다.

문제는 Windows 클라이언트가 MSCHAPv2 설정에서 " 내 Windows 로그온 이름 및 암호 [etc.] 자동 사용 "옵션의 선택을 해제해야한다는 것 입니다. Eduroam으로 지역 대학에 연결하면 Windows 로그인 자격 증명을 보내는 대신 자동으로 사용자 이름과 암호를 묻습니다. 시스템 관리자는 이것을 어떻게 달성 했습니까? 다시 보내지는 일종의 RADIUS 특성입니까?


University의 Eduroam 관리자에게 이메일을 보내려고 했습니까?
Michael

나는 내 국가의 eduroam 관리자에게 이메일을 보냈습니다.
Vincent O.

초기 자격 증명이 전송되면 RADIUS가 액세스 거부를 시작하여 Windows가 다른 자격 증명을 다시 보내지 않고 사용자에게 프롬프트를 표시하기로 결정했을 수 있습니다. SecureW2 또는 다른 것을 사용하고 있습니까?
Michael

-편집-이제 또 다시 깨졌습니다. Win7 기본 요청자를 사용하고 있습니다. 액세스 거부를 어떻게 다시 보내나요? 사용자 설정 파일에서 DEFAULT 항목을 사용할 수 있습니까? 그렇다면 어떻게합니까?
Vincent O.

Eduroam에 대해 본 모든 안내서에서는 Eduroam의 구성 프로파일을 동일하게 변경해야합니다.
Zanchey

답변:


2

이것은 질문보다 의견에 대한 답변이지만, 여기에 넣으면 형식을 지정할 수 있습니다.

사용자 파일의 DEFAULT 항목을 헌트 그룹과 함께 사용하여 제공된 사용자 이름을 기준으로 사용자를 일치시킬 수 있습니다.

첫 번째 단계는 디버그 모드에서 반경을 실행 radiusd -X하고 로그인 한 사용자로 인증 할 때 사용자 이름이 오는 형식을 캡처하는 것입니다. iirc / hostname $ / account와 같습니다.

그런 다음 정규식을 $raddbdir/huntgroups사용하여 헌트 그룹을 지정할 수 있습니다 .

badusers User-Name =~ ^aregex.*$

그런 다음 users파일 에서 액세스 거부 리턴 유형이있는 규칙에 헌트 그룹을 추가 하십시오.

DEFAULT Huntgroup-Name == badusers, Auth-Type := Reject

이로 인해 Windows에서 사용자 이름과 암호를 묻는 메시지가 표시되는지 여부는 NAS 및 Windows WPA 신청자에 따라 다릅니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.