我们目前的Wi-Fi基础设施是基于一个Debian框,主机Freeradius与LDAP后端。 目前,我们有两个802.1x保护SSID,一个公共和一个专用networking:根据LDAP属性,用户可以连接到第一个或第二个networking。
由于Freeradius拥有自签名证书,因此我们在Windows 7客户端遇到一些问题,需要安装服务器证书来执行连接:这对于公共networking尤其有些恼人,因为我们需要设置每台进入的电脑。
我想知道是否有办法(除了购买freeradius的商业证书,不幸的是我读[ http://wiki.freeradius.org/guide/Certificate-Compatibility ] Windows客户端不接受通配符证书,我们已经有…)让客户更容易地接受证书:解决方法是通过强制门户进行login? 是否可以为公共networkingbuild立强制门户?
请求方无法validation证书中的CN,因此您可以向请求方提供任何证书(通配证书除外),并且可以工作。
除了安装本地CA,或者获得由可信商业CA签名的证书之外,您实在别无select。
就俘虏门户而言,不可能回退到WPA / 2-Enterprisenetworking上的强制门户。
您可以使用强制门户设置第三个未encryption的SSID,以帮助用户引导,提供无线networkingconfiguration和证书。
在学术networking中,这是一种常见的做法,使用Cloudpath xpressconnect或eduroam cat来部署configuration。
最终我们将公共WiFi从802.1x移到了未encryption+ CoovaChilli俘虏门户。 身份validation仍然基于与专有networking共享的Freeradius + LDAP,我们在802.1x上保持不变。
我们能够使用不同的身份validation方法保持单独的WLAN,因为客户端位于两个独立的VLAN和LAN中,我们的接入点允许每个天线广播多个SSID。
CoovaChilli对Windows 7/8客户端performance非常好(没有证书请求,出现popup窗口告诉用户从浏览器login),Android / iOS设备识别强制门户并将用户redirect到login网页。