У нас есть небольшой офис с ~ 20 сотрудниками, каждый из которых использует MacBook и, при желании, подключается также с помощью мобильного телефона. Ранее мы использовали обычный Wi-Fi с общим ключом, но недавно я перенастроил его на WPA Enterprise, где все пользователи получили свои собственные учетные данные: пару логин / пароль. Аутентификация проходит через freeradius
сервис, работающий на AWS EC2 box.
Сервер RADIUS не настроен на использование каких-либо сертификатов, у каждого пользователя есть запись в /etc/freeradius/users
файле, которая выглядит следующим образом:
john.doe Cleartext-Password := "my_password"
RADIUS-клиент был настроен в минималистском стиле - вот наш /etc/freeradius/clients.conf
client RADIUSClient {
ipaddr = <our office external IP>
secret = <secret key shared with the Access Point>
require_message_authenticator = no
}
Эта установка, кажется, работает нормально со всеми мобильными телефонами и большинством MacBook. MacBook сначала жалуются на ненадежный самозаверяющий сертификат (что понятно), но после установки этого сертификата в качестве доверенного все работает гладко.
Тем не менее, некоторые MacBook после успешного подключения начинают отображать ошибки аутентификации через произвольные интервалы (1-30 минут):
Authentication failed on network “Network SSID”.
The authentication server is unresponsive. Contact your network administrator to check the network infrastructure.
В этом диалоге есть одна кнопка «Отключить». Тем не менее, пока пользователь не нажмет эту кнопку, MacBook будет оставаться на связи. Окно можно отодвинуть от экрана, но оно снова и снова появляется в центре, раздражая пользователей. Нажатие «Отключить» отключает ноутбук от Wi-Fi, а затем через пару секунд Mac снова подключается к той же сети, оставляя успешную запись в журналах сервера RADIUS.
Пытаясь исследовать, я увидел, что при подключении к сети WPA Enterprise MacBook отображает дополнительную запись в настройке сети с именем 802.1X . При нормальном подключении он говорит «Аутентифицирован через EAP-PEAP (MSCHAPv2)» все время с момента подключения ( см. Скриншот ). Нажатие на кнопку «Отключить» немедленно отключает ноутбук от Wi-Fi.
На тех ноутбуках, у которых есть такие проблемы с аутентификацией, всплывающее окно проблемы, после некоторого случайного периода сообщение «Аутентифицировано через ...» исчезает, и начинается новая попытка аутентификации ( см. Скриншот ). Через некоторое время сообщение изменится на «Сервер аутентификации не отвечает». Я посмотрел журналы сервера RADIUS: каждый раз, когда пользователь подключается к Wi-Fi, появляется успешная запись аутентификации, но ничего не регистрируется во время этих попыток аутентификации, отображаемых в разделе «802.1X».
После нескольких циклов между сообщениями «Аутентификация ...» и «Сервер аутентификации не отвечает» появляется диалоговое окно.
Так как это происходит только на нескольких ноутбуках, я не думаю, что это проблема с сервером, но я не знаю, как решить проблему для тех, у кого она есть. У меня его изначально не было, но когда я начал экспериментировать с переключением сетей, удалением и повторным созданием сетей, мне удалось воспроизвести проблему, и теперь я не могу от нее избавиться :)
Может ли кто-нибудь предложить правильное направление расследования?
ОБНОВЛЕНИЕ (03.03.2017). В конце концов было решено перейти на точку доступа корпоративного класса. Мы купили и установили UniFi APAC PRO , и проблема исчезла.