Freeradiusを使用したWPA2エンタープライズの設定

9

Freeradiusで認証済みwifiネットワークをセットアップしようとしています。自己署名証明書などを使用して、なんとか動作させることができました。

問題は、WindowsクライアントがMSCHAPv2設定の[ Windowsのログオン名とパスワードを自動的に使用するなど]オプションをオフにする必要があることです。Eduroamを使用して地元の大学に接続すると、Windowsのログイン認証情報を送信する代わりに、ユーザー名とパスワードを自動的に要求されます。システム管理者はこれをどのように達成しましたか?返されるのはある種のRADIUS属性ですか?

wifi  freeradius  security  wpa2 
ヴィンセントO
ソース
大学のEduroamの管理者にメールを送ってみましたか?
マイケル
全国のeduroam管理者にメールを送りましたが、今のところ返事はありません。
Vincent O.
最初の資格情報が送信されると、RADIUSがAccess-Rejectを無効にするため、Windowsは他の資格情報を再送信する代わりにユーザーにプロンプ​​トを表示することを決定します。SecureW2などを使用していますか?
マイケル
-編集-これでまた壊れました。Win7ネイティブサプリカントを使用しています。Access-Rejectを返信するにはどうすればよいですか?そのためにユーザー構成ファイルのDEFAULTエントリを使用できますか?
Vincent O.
Eduroamについて私が見たどのガイドでも、Eduroamの構成プロファイルに同じ変更を加える必要があります。
Zanchey、2012年

回答:

2

これは質問よりもコメントへの回答の方が多いですが、ここに配置してフォーマットできるようにします。

ユーザーファイルのDEFAULTエントリとハントグループを使用して、提供されたユーザー名に基づいてユーザーを照合できます。

最初のステップは、radiusdをデバッグモードで実行radiusd -Xし、ログインユーザーとして認証するときのユーザー名の形式をキャプチャすることです。これは、/ hostname $ / accountのようなものです。

次に$raddbdir/huntgroups、正規表現を使用してハントグループを指定できます。

badusers User-Name =~ ^aregex.*$

次に、usersファイルのaccess-reject戻り値タイプを使用して、ハントグループをルールに追加します。

DEFAULT Huntgroup-Name == badusers, Auth-Type := Reject

これによりWindowsがユーザー名とパスワードを要求するかどうかは、NASとWindows WPAサプリカントによって異なります。

ジェームス・イエール
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.