Nous avons un petit bureau avec environ 20 personnes, chacun utilisant un MacBook, et se connectant éventuellement avec un téléphone portable également. Auparavant, nous utilisions le Wi-Fi habituel avec une clé partagée, mais récemment je l'ai reconfiguré en WPA Enterprise, où tous les utilisateurs ont reçu leurs propres informations d'identification: paire login / mot de passe. L'authentification passe par un freeradiusservice exécuté sur un boîtier AWS EC2.
Le serveur RADIUS n'est pas configuré pour utiliser des certificats, chaque utilisateur a une entrée dans un /etc/freeradius/usersfichier qui ressemble à ceci:
john.doe Cleartext-Password := "my_password"
Le client RADIUS a été configuré de manière minimaliste - voici notre /etc/freeradius/clients.conf
client RADIUSClient {
ipaddr = <our office external IP>
secret = <secret key shared with the Access Point>
require_message_authenticator = no
}
Cette configuration semble fonctionner correctement avec tous les téléphones mobiles et la plupart des MacBooks. MacBooks se plaint d'abord d'un certificat auto-signé non approuvé (ce qui est compréhensible), mais après avoir défini ce certificat comme approuvé, tout fonctionne sans problème.
Pourtant, certains MacBooks, après s'être connectés avec succès, commencent à afficher des erreurs d'authentification à des intervalles aléatoires (1-30 minutes):
Authentication failed on network “Network SSID”.
The authentication server is unresponsive. Contact your network administrator to check the network infrastructure.
Il y a un seul bouton "Déconnecter" dans cette boîte de dialogue. Pourtant, jusqu'à ce que l'utilisateur appuie sur ce bouton, le MacBook reste parfaitement connecté. La fenêtre peut être éloignée de l'écran, mais elle remonte encore et encore au centre, irritant les utilisateurs. Cliquez sur «Déconnecter» pour déconnecter l'ordinateur portable du Wi-Fi, puis en quelques secondes, le Mac se reconnecte au même réseau, laissant un enregistrement de connexion réussi dans les journaux du serveur RADIUS.
En essayant d'enquêter, j'ai vu que lorsqu'il est connecté au réseau WPA Enterprise, le MacBook affiche une entrée supplémentaire dans le paramètre réseau nommé 802.1X . Lorsqu'il est normalement connecté, il indique "Authentifié via EAP-PEAP (MSCHAPv2)" tout le temps depuis la connexion ( voir capture d'écran ). Appuyer sur le bouton "Déconnecter" déconnecte immédiatement l'ordinateur portable du Wi-Fi.
Sur les ordinateurs portables qui ont des problèmes avec la fenêtre de problème d'authentification qui apparaît, après une période aléatoire, le message "Authentifié via ..." disparaît et une nouvelle tentative d'authentification démarre ( voir capture d'écran ). Après un certain temps, le message devient "Le serveur d'authentification ne répond pas". J'ai regardé les journaux du serveur RADIUS: chaque fois qu'un utilisateur se connecte au Wi-Fi, il y a un enregistrement d'authentification réussi, mais rien n'est enregistré pendant ces tentatives d'authentification affichées sous la section "802.1X".
Après plusieurs cycles entre les messages "Authentification ..." et "Le serveur d'authentification ne répond pas", la boîte de dialogue apparaît.
Comme cela ne se produit que sur quelques ordinateurs portables, je ne pense pas que ce soit un problème de serveur, mais je ne sais pas comment résoudre le problème pour ceux qui l'ont. Je ne l'avais pas au départ, mais quand j'ai commencé à expérimenter avec la commutation de réseaux, la suppression et la recréation de réseaux, j'ai réussi à reproduire le problème, et maintenant je ne peux plus m'en débarrasser :)
Quelqu'un peut-il suggérer la bonne direction de l'enquête?
MISE À JOUR (03.03.2017). Il a finalement été décidé de passer à un point d'accès de classe entreprise. Nous avons acheté et installé UniFi APAC PRO , et le problème avait disparu.