Предприятие WPA2: username/password-prompt-less устанавливают в смешанной сети: XP/SP3, Mac OS X, Linux, iOS

После долгих поисков на страницах руководства для openssl.cnf и конфигураций на различных iPhone и iPod у себя дома я наконец-то нашел ответ на заданный мною вопрос. .

Мое решение обеспечивает следующее: (а) безопасный вход в систему без имени пользователя / пароля с использованием EAP-TLS через WPA2-enterprise и (б) (возможно, немного более надежная защита) без пароля, но требуется имя пользователя для входа безопасным способом через WPA2-enterprise. Вариант (b) на самом деле заключается в раскомментировании check_cert_cn в файле eap.conf и требовании имени пользователя (есть несколько атрибутов name , быть немного осторожнее) отправляется. У потенциального хакера может быть ваш сертификат, но у него, возможно, нет вашего имени пользователя, но это не совсем мера безопасности для хакера, который разбирается в сертификатах и ​​WPA2 Enterprise.

По сути, процедура состоит в том, что вы меняете файл client.cnf для каждого клиента, которого вы хотите добавить в сеть и повторно сгенерировать ключи с помощью make client.pem , который создает файл client.p12 , который вы должны загрузить на свои клиентские машины - это означает, что каждый клиент получает собственный ключ для шифрования, что означает, что один клиент в сети не может шпионить за чужими пакетами через неразборчивый режим. Если у вас возникли проблемы во время создания client.pem s: make client.pem бомбы по любой причине, то обратите особое внимание на серийный и serial.old и index. txt и index.txt.old : в частности, mv serial.old serial и mv index.txt.old index.txt , и переделайте make client.pem после устранения проблемы (например, неправильный файл cnf из-за опечаток - скорее всего, из-за того, что специальные символы иногда не разрешены для паролей в Файл client.cnf - я был бы признателен любому, кто прочитает это, чтобы указать мне ресурсы, касающиеся использования специальных символов в файлах * .cnf ).

Теперь подробности: машинам Windows нужна другая процедура: для каждого клиента Windows XP вам нужно будет использовать методы, упомянутые в файле README в / etc / raddb / certs / . Затем вы должны выполнить шаги, описанные в «Шаге 1: Создание сертификатов: то следующий раздел будет начинаться как [ beeblebrox] . Здесь вы соответствующим образом настроите атрибуты (то же самое для большинства клиентов в вашей сети, за исключением emailAddress , который будет изменяться для каждого клиента).

В конце этого процесса вы закончите создание цифровые профили *. p12 / файл обмена личной информацией для каждого клиента. Этот файл содержит закрытый ключ, который клиент будет использовать для связи в сети. Теперь вам нужно установить эти цифровые профили на клиентов.

Машины Windows будут выполнять процедуру установки сертификатов и подключения к корпоративной сети WPA2, как уже упоминалось выше. Всем остальным машинам нужен файл *. P12 , который был создан для них (удобно называть их для каждого клиента: xp1.p12 , xp2.p12 , ios1.p12 , ios2.p12 , macosx1.p12 и т. Д. .) для подключения к серверу RADIUS. Как безопасно загрузить файл *. P12 на машины ? Для ноутбуков проблема тривиально решается с помощью съемных носителей или, если вы подключены через Ethernet к хост-сети, scp файла. Для iPhone и других устройств это немного сложно. Я не уверен, стоит ли использовать небезопасную электронную почту, учитывая тот факт, что файл *. P12 содержит закрытый ключ , который будет использоваться клиентами. Возможно, вы зашифруете электронную почту цифровым способом, так что все в порядке. Но я решил это, разместив файлы *. P12 локально на веб-сервере и загрузив их на устройства IOS.

На MAC вы можете выполнить шаги, описанные в здесь , но убедитесь, что вы добавили файл *. P12 в связку ключей на вашем MAC, прежде чем сделать это (см. здесь ). Аутентификация 802.1x в корпоративных конфигурациях WPA2 (возможно, вам придется явно проверить TLS в конфигурации).

На устройствах IOS вы сначала загрузите файл *. P12 что позволит вам добавить этот сертификат в качестве профиля (загрузка файла *. p12 запускает процесс автоматически). Затем перейдите в настройки-> WiFi-> добавьте свою корпоративную сеть WPA2, укажите SSID, а затем измените режим на EAP-TLS . Как только вы это сделаете, появится опция Identity , которая при нажатии предлагает вариант профиля *. P12 . Отметьте опцию и вернитесь к экрану. В зависимости от того, выбрали ли вы полное имя пользователя / вход без пароля в корпоративную систему или вход без пароля, вам может потребоваться ввести имя пользователя из соответствующего файла client.cnf , используемого для создания файла * .p12 файл. После того, как вы нажмете «Присоединиться», все в порядке!

Буду признателен, если кто-нибудь добавит разъем для беспроводного доступа через Linux.

Я подключусь, как только я смогу рассказать больше о том, сколько раз мне нужно повторно входить в систему и т. д. - Я мог видеть эту проблему на своих устройствах IOS, но мне нужно проверить еще раз.

cnf , используемый для создания файла *. p12 . После того, как вы нажмете «Присоединиться», все в порядке!

Буду признателен, если кто-нибудь добавит разъем для беспроводного доступа через Linux.

Я подключусь, как только я смогу подробнее рассказать о том, сколько раз мне придется повторно входить в систему и т. д. - Я мог видеть эту проблему на своих устройствах IOS, но мне нужно проверить еще раз.

cnf , используемый для создания файла *. p12 . После того, как вы нажмете «Присоединиться», все в порядке!

Буду признателен, если кто-нибудь добавит разъем для беспроводного доступа через Linux.

Я подключусь, как только я смогу подробнее рассказать о том, сколько раз мне придется повторно входить в систему и т. д. - Я мог видеть эту проблему на своих устройствах IOS, но мне нужно проверить еще раз.