Pull to refresh

FreeRADIUS for WPA & WPA2 Enterprise: Windows 7, Android, Symbian, iPhone

Reading time 4 min
Views 25K
В этой статье прекрасно описана конфигурация FreeRADIUS для WPA2 Enterprice, по ней я успешно сконфигурировал связку FreeRADIUS2 + WPA2 + EAP-TLS (аутентификация пользователя по WIFI WPA / WPA2 Enterprise, при помощи сертификатов). По этому утруждать ни себя ни вас, переводом я не стану.
Тем не менее в статье не хватает информации о тонкостях конфигурирования клиентов Android, Nokia Symbian, iPhone и Windows 7, для вышеописанной связки.
Что я и собираюсь сделать в этой дополняющей статье.


Android:

(проверенно на версии 2.3)
Оказалось что Андроид понимает только бинарные сертификаты и только с расширением файла (*.crt) для центра сертификации. Если ваш сертификат центра сертификации в текстовом виде, то конвертировать его весьма просто в *nix:
openssl x509 -inform PEM -outform DER -in CA-MYCOMPANY.pem -out CA-MYCOMPANY.crt
Или воспользоваться онлайн конвертором здесь.
Сертификаты пользователя (обязательно в формате (*.p12) и с таким же расширением файла) и центра сертификации нужно расположить на SD карте устройства. Заходим в конфигурацию Андроида: «Настройки», идём в «Безопасность», и выбираем пункт «Установка с SD карты». Здесь устанавливается сначала сертификат центра сертификации а затем пользовательский сертификат.
Также это можно сделать отправив письмо со вложенными файлами, если уже настроен мейл клиент. После загрузки писем, их вложения обычно находятся в папке Downloads на SD карте. Перемещать куда-либо сертификаты с этой папки нет необходимости.
Возвращаемся в конфигурацию Андроида и идём в «Беспроводные сети», выбираем «настройки WiFi», «добавить сеть WIFI». Здесь выбираем Безопасность 802.1x Enterprise, выбираем «метод EAP», «TLS», выбираем ранее установленный сертификат центра сертификации и сертификат пользователя соответственно. Не забываем прописать имя пользователя в поле Идентификационный код (в Nokia можно просто указать «использовать лоигн из сертификата»***), которое должно соответствовать Common Name "/CN=" в персональном сертификате пользователя.

Windows 7:


Не во всех Windows 7 файлы (*.p12) открываются по клику, лучше устанавливать их с помощью менеджера сертификатов certmgr.msc
Сертификат центра сертификации нужно устанавливать до установки пользовательского сертификата. Как в прочем и везде.
Сертификат центра сертификации желательно устанавливать в «Доверенные корневые сертификаты», а персональный сертификат в «Персональные сертификаты» соответственно.
Скриншоты ниже отображают необходимые насройки:

image
image
image
image
image

Если ваш сертификат центра сертификации не присутствует в этом списке, то скорее всего с вами произошол тот же курьёз, что и со мной, смотри последний абзац статьи. или просто перезапустите машину.

Nokia Symbian:


По сравнению с Windows 7 и Андроидом настройка у Нокиа значительно проще.
Скопировав сертификаты пользователя и центра сертификации на карту памяти устройства зайдите в место расположения этих файлов файловым менеджером и просто их откройте. Вам будет предложено ввести пароль от сертификатов (если таковые установлены), новые имена для сертификатов и новый пароль для сертификата пользователя (он иногда будет спрашиваться при подключении устройства к сети, поэтому не делайте его уж слишком сложным).
Зайдя в настройки соединений WIFI** создаём новую точку доступа Wireless LAN, вводим имя сети, Выбираем Infrastructure, Настройки безопасности выбираем 802.1x, выбираем WPA режим EAP. теперь выбираем только что созданную точку доступа, идём в настройки безопасности WLAN, выбираем настройки EAP плагинов, убираем галочки со всего, оставляем только на EAP-TLS, заходим в EAP-TLS и выбираем ранее установленные: персональный сертификат (тот что был p12), Авторитетный сертификат (тот что был pem или crt или der) и оставляем все остальные пункты как есть, в том числе и «использовать имя пользователя — с сертификата»***.

** для Nokia E5 это:
Control Panel > Settings > Connection > Destinations
** для Nokia X6 это:
Панель управления > Настройки > Системные > Связь > Диспетчер подключений

iPhone:


Несмотря на то, что к USB проводу нужен установленный iTunes, а флеш карту я вообше не знаю можно ли подключить, а также iPhone я держал впервые в жизни, настроить его получилось проще всего.
На телефоне настроил почту и отправил туда корневой сертификат в бинарном виде (*.DER) и персональный сертификат (*.p12). В почтовике я просто открыл вложения, операционка сразу поняла, что это за файлы и предложила их установить (Принять).
Установил сначала корневой затем персональный. Потом идём «Настройки», «Wi-FI», «Другая» вводим Имя сети далее идём в «Безопасность» выбираем «WPA2 Enterprice» в поле Имя пользователя вводим имя пользователя (которое должно соответствовать Common Name "/CN=" в персональном сертификате пользователя), в поле «Режим» вибираем «EAP-TLS», входим в меню «Идентификация» и выбираем персональный сертификат установленный ранее, жмём «Join».
При подключении может выдать сообщение о том, к кому мы подключаемся (будет отображено поле CN из сертификата сервера), нужно сказать «Принять».

***
У Нокиа и Windows 7 (выбирается из установленных персональных сертификатов, но можно вбить и вручную) по сравнению с Андроидом и iPhone не обязательно вручную вводить логин.

Также стоит обратить внимание на такой нюанс, как сроки действия этих двух сертификатов. Со мной приключился следующий курьёз: *nix сервер не был синхронизирован с сервером времени и сертификат, сгенерированный для пользователя, начинал своё действие только через час после его создания, собственно как и написано в теле сертификата. Я на это не обратил внимания и по этой причине не мог подключиться к сети. Разобравшись в проблеме я просто подождал один час.

О проводных подключениях в ОС Windows

В ОС Windows есть возможность исспользовать подключение Ethernet по тому же принципу аутентификации — при помощи сертификатов. Большинство свичей даже SMB могут аутентифицировать клиентов при помощи Radius'а. Это повышает уровень безопастность сети, так что никто не сможет просто «воткнуться» в неё.
Для настройки проводного соединения нужно в службах Windows включить "Wired AutoConfig" (Проводная Автонастройка). В свойствах адаптера появится аналогичная вкладка беспроводному соединению "Authentication" (Аутентификация).
image
Настройка аналогична беспроводному соединению.

Вот и всё, всем удачи!
Tags:
Hubs:
+4
Comments 0
Comments Leave a comment

Articles