我将freeradius设置为802.1x的身份validation服务器。 在使用rad_eap_testtestingconfiguration时,服务器返回以下错误: [tls] <<< TLS 1.0 Handshake [length 0491], Certificate –> verify error:num=27:certificate not trusted [tls] >>> TLS 1.0 Alert [length 0002], fatal bad_certificate TLS Alert write:fatal:bad certificate TLS_accept: error in SSLv3 read client certificate B rlm_eap: SSL error error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned SSL: SSL_read failed in a system call (-1), TLS session fails. TLS […]
我一直在努力在centos 6.4上configuration802.1x来在有线networking(不是无线)上进行身份validation,但是目前还没有运气。 有没有什么好的教程? 我想configuration使用命令行工具,而不是GUI工具。 我实际上find了一个redhat的教程,但是在centos上看起来很不一样,所以我觉得我需要一些专门用于centos的东西。 我注意到/etc/rc.d/init.d/wpa_supplicant的注释说:“wpa_supplicant是连接到无线networking的工具”。 我想知道这是否意味着在centos的wpa_supplicant不能用于configuration有线networking? 谢谢。
我正在尝试在OS X 10.10.1 Yosemite上configurationTTLS 802.1xlogin窗口configuration文件。 该configuration文件已经安装(通过MDM),login窗口现在显示(在用户名/密码input框上方)下拉列表,可以从中select802.1xconfiguration文件; 此外,当用户尝试login时,尝试802.1xauthentication。 但是,authentication失败; 在启用了请求者日志function后,我在TLS隧道build立后看到以下错误: EAP请求:EAPtypes21 身份validation:不能提示缺less属性<array> { 0:UserPassword } set_msk 0 请求者(主)状态:state = Held …但我认为login窗口configuration文件的全部重点是用户在login窗口提供的802.1x用户名和密码! 这是怎么回事? UPDATE 看来,在networking负载中select身份证书会导致OS X忽略login窗口中提供的用户凭证。 有没有办法在TLS握手期间使用(系统范围的)客户端证书,还可以使用login窗口中的用户信用来进行内部/隧道validation?
我正在为学生宿舍创build一个ISP。 局域网已经在那里工作,有几台CISCO交换机。 我想通过安全和自动的方式提供互联网给那些支付(每月)的人。 在不久的将来,也可能会有一个接入点(CISCO)在一个“不太私人的”地方(主要是学生,但他们可能不住在这个住所)连接到networking,所以连接必须是担保和限制在居民(只有付费用户无线接入networking是可以接受的)。 这是我的愿望: login应该是直截了当的,并适应一个不断变化的社区(每年150-200个class次/到达) 在订阅结束后自动断开用户与Internet的连接(他仍然可以使用LAN) Internet网关的pipe理界面(带宽,连接用户…) 强制门户(或其他)解释如何订阅非付费用户想访问互联网 然而,我有一个很大的限制:人们(付费用户)不得不能够在他们之间进行通信(同一个VLAN)。 对于1.我认为802.1x PEAP是正确的解决scheme,它使用服务器上的证书和客户端部分只有用户名/密码。 我不必把证书放在每个设备上。 对于2.我正在考虑从LDAP radiusProfile objectClass使用“过期”,并在用户订阅时更新此值。 对于3.和4.解决scheme之一可能是pfSense。 由于802.1x和用户在同一局域网上的限制,还有另外一种可能性,使得非付费用户有一个RADIUS“用户帐户”? 我假设不是。 据我所知,在networking设备(AP或交换机)上configuration了802.1x,并直接与RADIUS服务器进行通信,因此pfSense如何知道用户何时在其中一个networking设备上进行身份validation,以便绕过强制门户? 我不希望我的用户必须login他们的设备,并再次在强制门户网站上login,它必须是透明的。 下面是我看到的实现: User NP: non-paying user = access to LAN but not to Internet; access to captive portal when asking for Internet; User P: paying user = access to LAN and Internet until suscription expires; […]
概要: 给定一个具有3个物理以太网接口的Linux系统(Ubuntu 16.04): eth0:WAN eth1:EAPoL authenticator eth2:客户端LAN 我试图configuration这个: 桥br0:eth0 – eth1 ebtables规则只转发EAPoLstream量 IP NAT的剩余stream量br0 – eth2(除了types为EAPoL的以太网帧之外的所有东西) eth0端口将使用伪装的mac(匹配EAPoLauthentication者) 希望的最终结果是连接到eth2的客户端计算机可以连接到WAN。 广域网需要802.1xvalidation,将桥接到连接到eth1的EAPoLvalidation器设备。 最初,我受到这篇文章的启发,但是在configuration方面却遇到了麻烦: https://www.dslreports.com/forum/r30708210-AT-T-Residential-Gateway-Bypass-True-bridge-mode 问题: 1.)桥configuration似乎工作,tcpdump会告诉我eth1上的EAPoLstream量,但是我有麻烦得到DHCP获得DHCP信息,使用dhclient挂起。 我不知道我在这里理解vlan的目的,如果我欺骗eth0的mac是这个部分甚至是必要的? 2.)我不清楚如何将eth0 eth2之间的剩余stream量(不是EAPoL的所有内容)进行NAT转换。 我只是在接口本身之间定义一个iptables NAT,就像这样: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -A FORWARD -i eth2 -j ACCEPT iptables -A INPUT 1 -i eth2 -j ACCEPT 我遇到的问题是,我可以configuration一个或另一个,而不是两个。 我可以让系统在eth0 eth1之间桥接EAPOL,或者我可以在eth0 […]
我不知道我想做什么是可能的,但是我们现在就去。 我有一堆iPad,在我进入我的networking之前,我要监督它们。 iPad将通过802.1xauthentication使用用户名和密码通过NPS服务器从活动目录连接到WiFi。 我想要做的是确保我的networking上的每个iPad都已经被监督,然后才能连接到无线networking。 我希望做的是,从NPS创build一个通用证书,我可以在监督期间把所有iPad都放进去,然后iPad就可以使用用户名和密码连接到无线networking。 如果他们没有在iPad上的证书,WiFi无法连接。 这可能吗? 我仍然希望用户使用用户名和密码连接的原因是,这些细节被放入我们的MDM和Wifi控制器。 当监督这样做时,我无法推送Wifi有效负载,因为我必须指定一个用户名,但是我可以添加证书。
目前我正计划在我所在办公室的所有有线计算机上实现802.1Xauthentication。 我们已经使用login/密码凭证成功实施了802.1Xauthentication。 它通过RADIUS服务器进行身份validation。 RADIUS服务器是Microsoft IAS。 除了有线networking之外,我们还有一个使用证书进行802.1Xauthentication的ARUBA wifi控制器。 我们希望使用相同的证书来validation有线电脑。 这似乎不工作。 问题似乎是在思科交换机级别。 计算机将凭证发送到交换机,但交换机仅以错误结束EAP会话。 RADIUS服务器从不联系。 我的问题是以下几点:Cisco交换机是否支持使用证书的802.1X EAP身份validation? 如果是的话,这种设置的具体细节是什么? 预先感谢您的帮助, 安托万
我正在使用一个2008 r2 dc也执行半径(NPS),我也有一个2008 r2证书颁发机构颁发证书。 计算机正在获取证书,并且当用户login到设备(以前已经login)时,将被放在正确的VLAN(根据用户访问)。 但是我不能让计算机在login之前join无线networking,以便他们可以使用他们的域帐户login并通过无线进行身份validation。 基本的设置是计算机获取组策略,告诉它获得一个证书,然后计算机有一个单独的vlanjoin作为一个计算机帐户,但无线计算机将无法连接通过该vlan。 (这个vlan只允许login信息,一旦用户证书被validation,它将把它们放到另一个VLAN中)。 所以我正试图解决为什么笔记本电脑不会自动连接到无线networking作为一台计算机。 谢谢 忘了提及赢7客户端。 编辑:我得到了这个工作,但是我有这个问题,如果有人没有证书,例如iphone得到提示,他们是否要接受证书,一旦你select接受它可以让你joinnetworking。 我试图让你的设备必须成为某个组的一部分,但是当发生这种情况时,即使是在正确的组中的有效的计算机也无法join。 有没有人经历过这个?
我正在查找交换机的完整列表,这将允许802.1x和正常(不支持)的主机连接到交换机上的相同端口。 这对于有半开放端口的区域很有用,例如大堂区域或图书馆,企业和来宾用户可以使用相同的端口,但是您希望他们拥有不同的访问configuration文件,并且不希望客人拥有他们的系统上configuration了802.1x。 例如,Enterasys和Extreme Networks都有一个function,如果交换机在一定的时间内没有看到来自客户端的EAPOL数据包,则会将该端口置于“访客”VLAN中; 如果它看到一个802.1x请求者,它会尝试通过802.1x来authentication用户,如果他们成功了,它就会做radius服务器告诉它对该端口做的事情(IE将该端口放入某个VLAN,应用某些ACL等) ) 其他供应商是否具有这种function,或者期望交换机同时执行802.1x和MAC身份validation,并且“请求者超时”function是通过MAC身份validation的一揽子允许实现的?
我正尝试使用802.1x通过RADIUS的dynamicVLAN分配对我的networking上的客户端进行身份validation。 我们拥有仅支持EAP-MD5的IP电话(由PoE供电),并且我们宁愿使用MAB(它也使用LLDP-MED进行某些设置)来使用来自电话供应商的MAC范围的电话进行authentication。 以下情况完美: 连接手机,让它启动(需要一段时间),并与MAB进行身份validation。 连接电话数据端口中的计算机,并使用802.1x进行身份validation(或失败并访问guest虚拟机vlan) 但是,下面的scheme不起作用: 电脑已经连接到电话 手机然后连接到交换机 现在发生的事情是,在手机启动之前,使用802.1x对计算机进行身份validation,并通过MAB进行身份validation。 手机准备就绪后,通过MABvalidation,一切正常。 但是,经过一段时间(比如说一分钟),使用debug authentication all ,我们看到一个“NEW LL MAC:phones mac”消息(这是很奇怪的,因为mac已经被MABauthentication了),然后我们无法使用ping联系电话。 当我检查show mac address-table它现在已经把Port Gi 0/12的Mac移到了Port Drop 。 但是,如果我检查show mab interface Gi 0/12或show authentication sessions则会列出phones-mac为mab auth sucess 。 任何人都可以解释为什么第一个场景有效,而不是第二个? 该交换机是一个3560E PoE 24p交换机configuration的IOS 12.2.58SE2Sample。 network-policy profile 1 voice vlan 90 ! interface GigabitEthernet0/12 switchport mode access network-policy 1 authentication control-direction […]