Freeradiusを使用したWPA2-Enterpriseの構成
Freeradiusで認証済みのwifiネットワークをセットアップしようとしています。自己署名証明書などを使用して、なんとか機能させることができました。
問題は、WindowsクライアントがMSCHAPv2設定の「Windowsのログオン名とパスワードを自動的に使用する [など]」オプションのチェックを外す必要があることです。 Eduroamを使用して地元の大学に接続すると、Windowsのログイン資格情報を送信する代わりに、ユーザー名とパスワードを自動的に要求します。システム管理者はどのようにしてこれを達成しましたか?返送されるのは、ある種のRADIUS属性ですか?
これは質問というよりもコメントへの回答ですが、ここに置いてフォーマットできるようにします。
ユーザーファイルのDEFAULTエントリをハントグループと一緒に使用して、指定されたユーザー名に基づいてユーザーを照合できます。
最初のステップは、デバッグモードradiusd -Xでradiusdを実行し、ログインしたユーザーとして認証するときのユーザー名の形式をキャプチャすることです。iircは/ hostname $/accountのようなものです。
次に、正規表現を使用して$raddbdir/huntgroupsでハントグループを指定できます。
badusers User-Name =~ ^aregex.*$
次に、ハントグループをusersファイルのアクセス拒否の戻り値の型を持つルールに追加します。
DEFAULT Huntgroup-Name == badusers, Auth-Type := Reject
これによりWindowsがユーザー名とパスワードの入力を求めるかどうかは、NASおよびWindows WPAサプリカント)によって異なります。