Nous avons un petit bureau avec ~20 personnes, chacune utilisant un MacBook, et se connectant éventuellement avec un téléphone mobile aussi. Auparavant, nous utilisions le Wi-Fi habituel avec une clé partagée, mais récemment, je l'ai reconfiguré en WPA Enterprise, où tous les utilisateurs reçoivent leurs propres informations d'identification : une paire login/mot de passe. L'authentification passe par un freeradius
s'exécutant sur une boîte AWS EC2.
Le serveur RADIUS n'est pas configuré pour utiliser des certificats, chaque utilisateur dispose d'une entrée dans le fichier /etc/freeradius/users
qui ressemble à ceci :
john.doe Cleartext-Password := "my_password"
Le client RADIUS a été configuré d'une manière minimaliste - voilà notre /etc/freeradius/clients.conf
client RADIUSClient {
ipaddr = <our office external IP>
secret = <secret key shared with the Access Point>
require_message_authenticator = no
}
Cette configuration semble fonctionner correctement avec tous les téléphones portables et la plupart des MacBooks. Les MacBooks se plaignent d'abord d'un certificat auto-signé non fiable (ce qui est compréhensible), mais après avoir défini ce certificat comme fiable, tout fonctionne sans problème.
Pourtant, certains MacBooks, après s'être connectés avec succès, commencent à afficher des erreurs d'authentification à des intervalles aléatoires (1-30 minutes) :
Authentication failed on network “Network SSID”.
The authentication server is unresponsive. Contact your network administrator to check the network infrastructure.
Il y a un seul bouton "Déconnecter" dans cette boîte de dialogue. Pourtant, tant que l'utilisateur n'appuie pas sur ce bouton, le MacBook reste parfaitement connecté. La fenêtre peut être éloignée de l'écran, mais elle revient sans cesse au centre, ce qui irrite les utilisateurs. En cliquant sur "Disconnect", l'ordinateur portable se déconnecte du Wi-Fi, et quelques secondes plus tard, le Mac se reconnecte au même réseau, laissant un enregistrement de connexion réussie dans les journaux du serveur RADIUS.
En essayant d'enquêter, j'ai vu que lorsqu'il est connecté au réseau WPA Enterprise, le MacBook affiche une entrée supplémentaire dans les paramètres du réseau nommée 802.1X . Lorsqu'il est normalement connecté, il indique "Authenticated via EAP-PEAP (MSCHAPv2)" tout le temps depuis la connexion ( voir la capture d'écran ). En appuyant sur le bouton "Disconnect", l'ordinateur portable est immédiatement déconnecté du Wi-Fi.
Sur les ordinateurs portables qui ont ce problème d'apparition de la fenêtre d'authentification, après une période aléatoire, le message "Authenticated via..." disparaît, et une nouvelle tentative d'authentification commence ( voir la capture d'écran ). Après un certain temps, le message devient "Authentication server is not responding". J'ai regardé les journaux du serveur RADIUS : à chaque fois qu'un utilisateur se connecte au Wi-Fi, il y a un enregistrement d'authentification réussie, mais rien n'est enregistré pendant ces tentatives d'authentification affichées dans la section "802.1X".
Après plusieurs cycles entre les messages "Authenticating..." et "Authentication server is not responding", la boîte de dialogue s'affiche.
Comme cela ne se produit que sur quelques ordinateurs portables, je ne pense pas qu'il s'agisse d'un problème de serveur, mais je n'ai aucune idée de la façon de résoudre le problème pour ceux qui l'ont. Je ne l'avais pas au départ, mais lorsque j'ai commencé à expérimenter en changeant de réseau, en supprimant et en recréant des réseaux, j'ai réussi à reproduire le problème, et maintenant je n'arrive pas à m'en débarrasser :)
Quelqu'un peut-il suggérer la bonne direction d'investigation ?
MISE À JOUR (03.03.2017). Il a finalement été décidé de passer à un point d'accès de classe entreprise. Nous avons acheté et installé UniFi APAC PRO et le problème a disparu.