https://www.opennet.ru/openforum/vsluhforumID1/95068.html Доброго времени суток.<br>Коллеги, подскажите куда копать, укажите нужное направление. Назрела необходимость (лишь часть обшей задачи) авторизововать Wi-Fi пользователей через Radius (wpa2 enterprice). На Фряхе зарядил Freeradius-mysql, завел в Мускул тестового пользователя, все работает без проблем (и локально и с Цисок по сетке):<br><br>#radtest user shmuser localhost 1812 123<br>Sending Access-Request of id 97 to 127.0.0.1 port 1812<br> User-Name = "user"<br> User-Password = "user123"<br> NAS-IP-Address = 255.255.255.255<br> NAS-Port = 1812<br>rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=97, length=20<br><br>Но с точкой доступа - проблемы. В clients.conf прописана.<br><br>client 192.168.0.37 {<br>secret= 4321<br>shortname= wifi<br>nastype = other<br>}<br><br>Tcpdump-ом смотрел - запрос на авторизацию идет, но потом - отлуп. <br>Я так понимаю что нужно включить шифрование? Какой метод прописать в radius.conf? <br>Пытался прописать $INCLUDE ${confdir}/eap.conf предварительно настроив eap.conf<br><br>eap { https://www.opennet.ru/openforum/vsluhforumID1/95068.html#3 Sun, 06 Oct 2013 15:03:21 GMT &gt;&gt; Для клиента сертификат сделали? На клиентском компьютере сертификаты клиента и CA установлены?<br>&gt;&gt; В свойствах беспроводной сети нужный CA выбран?<br>&gt;&gt; Посмотрите тут http://www.lissyara.su/articles/freebsd/security/wpa2_radius+eap-tls_eap-peap/ <br>&gt;&gt; (в скриптах, прилагаемых к статье возможно, есть опечатки/ошибки. Мне пришлось в паре <br>&gt;&gt; мест ' на ` менять) <br>&gt; Спасибо! Почитаю. Статью эту видел, но пролетел мимо. Серты клиентам не ставил, <br>&gt; т. к. в 90% случаем это будут смартовые мобилки, т.е. <br>&gt; peap нужен. В общем буду изучать вопрос далее.<br><br>Обратите внимание на то, что тип EAP может быть только один (а не одновременно 2 и это еще одна ошибка в статье) - или PEAP, или TLS. Сертификаты в Андроид религия вроде как не запрещает импортировать - нужно только сконвертировать корневой .pem-сертификат в .crt и поместить его на SD-карту, и туда же поместить .p12-сертификат клиента (см., например, http://habrahabr.ru/post/128405/ )<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/95068.html#2 Sun, 06 Oct 2013 08:48:37 GMT &gt; Для клиента сертификат сделали? На клиентском компьютере сертификаты клиента и CA установлены? <br>&gt; В свойствах беспроводной сети нужный CA выбран?<br>&gt; Посмотрите тут http://www.lissyara.su/articles/freebsd/security/wpa2_radius+eap-tls_eap-peap/ <br>&gt; (в скриптах, прилагаемых к статье возможно, есть опечатки/ошибки. Мне пришлось в паре <br>&gt; мест ' на ` менять) <br><br>Спасибо! Почитаю. Статью эту видел, но пролетел мимо. Серты клиентам не ставил, т. к. в 90% случаем это будут смартовые мобилки, т.е. peap нужен. В общем буду изучать вопрос далее.<br> https://www.opennet.ru/openforum/vsluhforumID1/95068.html#1 Sat, 05 Oct 2013 16:14:05 GMT <br>&gt;[оверквотинг удален]<br>&gt; TLS_accept:failed in SSLv3 read client certificate A <br>&gt; Fri Oct 4 15:09:28 2013 : Error: rlm_eap: SSL error error:14094416:SSL <br>&gt; routines:SSL3_READ_BYTES:sslv3 alert certificate unknown <br>&gt; Fri Oct 4 15:09:28 2013 : Error: rlm_eap_tls: SSL_read failed inside <br>&gt; of TLS (-1), TLS session fails.<br>&gt; Fri Oct 4 15:09:28 2013 : Auth: Login incorrect: [anonymous/&lt;no User-Password <br>&gt; attribute&gt;] (from client wifi port 1 cli 9C-02-98-E5-D9-C9) <br>&gt; Sat Oct 5 13:10:45 2013 : Info: Using deprecated naslist file. <br>&gt; Support for this will go away soon.<br>&gt; Прошу помощи раскрутить.<br><br>Для клиента сертификат сделали? На клиентском компьютере сертификаты клиента и CA установлены? В свойствах беспроводной сети нужный CA выбран?<br><br>Посмотрите тут http://www.lissyara.su/articles/freebsd/security/wpa2_radius+eap-tls_eap-peap/ <br><br>(в скриптах, прилагаемых к статье возможно, есть опечатки/ошибки. Мне пришлось в паре мест ' на ` менять)<br>