Wir haben ein kleines Büro mit ca. 20 Mitarbeitern, die jeweils ein MacBook verwenden und optional auch eine Verbindung mit einem Mobiltelefon herstellen. Früher haben wir das übliche WLAN mit einem gemeinsam genutzten Schlüssel verwendet, aber kürzlich habe ich es auf WPA Enterprise umkonfiguriert, wo alle Benutzer ihre eigenen Anmeldeinformationen erhalten haben: Login / Passwort-Paar. Die Authentifizierung erfolgt über einen freeradiusDienst, der auf einer AWS EC2-Box ausgeführt wird.
Der RADIUS-Server ist nicht für die Verwendung von Zertifikaten konfiguriert. Jeder Benutzer hat einen Eintrag in der /etc/freeradius/usersDatei, der folgendermaßen aussieht:
john.doe Cleartext-Password := "my_password"
Der RADIUS-Client wurde minimalistisch konfiguriert - hier ist unser /etc/freeradius/clients.conf
client RADIUSClient {
ipaddr = <our office external IP>
secret = <secret key shared with the Access Point>
require_message_authenticator = no
}
Dieses Setup funktioniert anscheinend mit allen Mobiltelefonen und den meisten MacBooks. MacBooks beschweren sich zuerst über ein nicht vertrauenswürdiges selbstsigniertes Zertifikat (was verständlich ist). Nachdem Sie dieses Zertifikat jedoch als vertrauenswürdig eingestuft haben, funktioniert alles reibungslos.
Bei einigen MacBooks werden nach erfolgreicher Verbindung Authentifizierungsfehler in zufälligen Intervallen (1-30 Minuten) angezeigt:
Authentication failed on network “Network SSID”.
The authentication server is unresponsive. Contact your network administrator to check the network infrastructure.
In diesem Dialogfeld befindet sich eine einzige Schaltfläche "Trennen". Bis der Benutzer diese Taste drückt, bleibt das MacBook jedoch perfekt verbunden. Das Fenster kann vom Bildschirm wegbewegt werden, springt jedoch immer wieder in die Mitte und irritiert die Benutzer. Wenn Sie auf "Trennen" klicken, wird der Laptop vom Wi-Fi-Netzwerk getrennt, und der Mac stellt nach einigen Sekunden erneut eine Verbindung zum selben Netzwerk her. In den Protokollen des RADIUS-Servers wird ein erfolgreicher Anmeldedatensatz hinterlassen.
Bei der Untersuchung stellte ich fest, dass das MacBook bei einer Verbindung mit einem WPA Enterprise-Netzwerk einen zusätzlichen Eintrag in der Netzwerkeinstellung mit dem Namen 802.1X anzeigt . Wenn eine normale Verbindung besteht, wird die Meldung "Authentifiziert über EAP-PEAP (MSCHAPv2)" angezeigt ( siehe Abbildung ). Wenn Sie auf die Schaltfläche "Trennen" klicken, wird der Laptop sofort vom WLAN getrennt.
Auf den Laptops, auf denen Probleme mit dem Authentifizierungsproblem auftreten, verschwindet nach einer zufälligen Zeit die Meldung "Authentifiziert über ..." und es wird ein neuer Authentifizierungsversuch gestartet ( siehe Screenshot ). Nach einiger Zeit ändert sich die Meldung in "Authentifizierungsserver antwortet nicht mehr". Ich habe mir die RADIUS-Serverprotokolle angesehen: Jedes Mal, wenn ein Benutzer eine Verbindung zu Wi-Fi herstellt, wird ein erfolgreicher Authentifizierungsdatensatz angezeigt. Während dieser unter "802.1X" angezeigten Authentifizierungsversuche wird jedoch nichts protokolliert.
Nach mehreren Zyklen zwischen den Meldungen "Authentifizierung ..." und "Authentifizierungsserver antwortet nicht" wird das Dialogfeld angezeigt.
Da dies nur bei einigen Laptops der Fall ist, handelt es sich meines Erachtens nicht um ein Serverproblem, aber ich habe keine Ahnung, wie das Problem für diejenigen, die es haben, behoben werden kann. Anfangs hatte ich es nicht, aber als ich anfing, mit dem Umschalten von Netzwerken zu experimentieren, Netzwerke zu löschen und neu zu erstellen, konnte ich das Problem reproduzieren und kann es jetzt nicht mehr loswerden :)
Kann jemand bitte die richtige Richtung der Untersuchung vorschlagen?
UPDATE (03.03.2017). Es wurde schließlich beschlossen, zu einem Zugangspunkt der Enterprise-Klasse zu wechseln. Wir haben UniFi APAC PRO gekauft und installiert , und das Problem war behoben .