web-dev-qa-db-ja.com

Freeradiusを使用したWPA2-Enterpriseの構成

Freeradiusで認証済みのwifiネットワークをセットアップしようとしています。自己署名証明書などを使用して、なんとか機能させることができました。

問題は、WindowsクライアントがMSCHAPv2設定の「Windowsのログオン名とパスワードを自動的に使用する [など]」オプションのチェックを外す必要があることです。 Eduroamを使用して地元の大学に接続すると、Windowsのログイン資格情報を送信する代わりに、ユーザー名とパスワードを自動的に要求します。システム管理者はどのようにしてこれを達成しましたか?返送されるのは、ある種のRADIUS属性ですか?

9
Vincent O.

これは質問というよりもコメントへの回答ですが、ここに置いてフォーマットできるようにします。

ユーザーファイルのDEFAULTエントリをハントグループと一緒に使用して、指定されたユーザー名に基づいてユーザーを照合できます。

最初のステップは、デバッグモードradiusd -Xでradiusdを実行し、ログインしたユーザーとして認証するときのユーザー名の形式をキャプチャすることです。iircは/ hostname $/accountのようなものです。

次に、正規表現を使用して$raddbdir/huntgroupsでハントグループを指定できます。

badusers User-Name =~ ^aregex.*$

次に、ハントグループをusersファイルのアクセス拒否の戻り値の型を持つルールに追加します。

DEFAULT Huntgroup-Name == badusers, Auth-Type := Reject

これによりWindowsがユーザー名とパスワードの入力を求めるかどうかは、NASおよびWindows WPAサプリカント)によって異なります。

2
James Yale