WiFi Enterprise / 802.1x / PEAP / Windows RADIUS: нескольким устройствам не удается подключиться при использовании одинаковых данных аутентификации

1878
Adambean

У меня проблемы с получением нескольких устройств для установления соединения WiFi, когда они используют одни и те же данные аутентификации. Вот немного о моей настройке беспроводной сети:

  • Одна точка доступа, использующая WPA2 Enterprise (802.1X) - Linksys WAP4400N (да, она довольно старая).
  • Аутентификация 802.1X является PEAP, аутентификация 2-й фазы - EAP-MSCHAPv2 или сертификат.
  • RADIUS-сервер - это сервер сетевой политики из Windows Server 2008 R2.
  • Пользователи проходят аутентификацию в Active Directory, любой, кто активен в группе «Пользователи домена», может войти в систему.
  • Беспроводные устройства включают Windows 7, два iPhone и два планшета Android. Не все они мои.

Проблема заключается в том, что если один и тот же пользователь (поскольку устройство принадлежит одному и тому же человеку) пытается выполнить проверку подлинности на двух устройствах одновременно, только первое устройство, прошедшее проверку подлинности, получит работающее соединение WiFi. Хотя последующие устройства будут утверждать, что аутентификация 802.1X была успешной (как отражено в журнале событий безопасности Windows), он всегда не сможет получить IP-адрес от DHCP.

Ни одно из устройств также не заявляет, что аутентификация 802.1X не удалась, они просто на некоторое время останавливаются на «получении IP-адреса», а затем обвиняют в плохой связи. Журнал событий безопасности Windows не показывает ошибок аутентификации. Установка статического IP-адреса не решает эту проблему; будет установлено, что соединение WiFi установлено, но данные не будут передаваться.

Мне интересно, виновата ли это точка доступа или не рекомендуется использовать способ аутентификации? На первый взгляд может показаться, что точка доступа недовольна двумя соискателями, использующими одинаковые учетные данные пользователя, но тогда у меня сложилось впечатление, что точка доступа не имеет права голоса в этом. Разве точка доступа (аутентификатор) не должна быть просто мостом между соискателем и сервером аутентификации?

Возможно, мне следует выдавать каждому устройству свой собственный сертификат, а затем использовать EAP-TLS или PEAP с сертификатами фазы 2. Я действительно не хочу создавать новых пользователей для каждого человека на отдельном устройстве WiFi, так как это противоречит цели пользователя, плюс MAC-адрес устройства полностью зарегистрирован, поэтому я не могу видеть, какие устройства аутентификация в любом случае.

1
Было бы интересно увидеть трассировку пакетов сеанса RADIUS, узнать, действительно ли отправлено Access-Accept и отправлено ли когда-нибудь сообщение MPPE-Key. Spiff 10 лет назад 1
Просто использовал Wireshark на сервере Windows (на котором размещены RADIUS и DHCP), чтобы выяснить это. Да, пакет Access-Accept отправляется, хотя ключ MPPE не виден. Пакет обнаружения DHCP также принимается, и пакет предложения DHCP немедленно отправляется с ожидаемыми деталями. Эти сообщения DHCP просто бесконечно зацикливаются примерно на секунду или около того. Adambean 10 лет назад 0
Также внезапно ВСЕ работает, но не волнуйтесь, я уверен, что это не надолго. Только что попробовал с 2 айфонов здесь (один как я, один как кто-то еще) и планшет Android (как я). Все тоже мгновенно получили IP-адрес от DHCP ... Adambean 10 лет назад 0
Извините, моя память подвела меня. Ключ не отправляется в отдельном сообщении RADIUS, он отправляется как «Атрибут MS-MPPE-Recv-Key» в Access-Accept. Было бы интересно узнать, посылает ли RADIUS-сервер иногда Access-Accepts, в которых нет действительного атрибута MS-MPPE-Recv-Key. Spiff 10 лет назад 1
Ах, нашел атрибут. Это присутствует, но все работает прямо сейчас (все еще). Мне, вероятно, придется подождать, пока он снова загадочным образом не сломается ... Adambean 10 лет назад 0

0 ответов на вопрос

Похожие вопросы