Chúng tôi có một văn phòng nhỏ với ~ 20 người, mỗi người sử dụng MacBook và tùy chọn kết nối với điện thoại di động. Trước đây chúng tôi đã sử dụng Wi-Fi thông thường với khóa chung, nhưng gần đây tôi đã cấu hình lại nó thành WPA Enterprise, nơi tất cả người dùng nhận được thông tin đăng nhập của riêng họ: cặp đăng nhập / mật khẩu. Xác thực đi qua một freeradiusdịch vụ chạy trên hộp AWS EC2.
Máy chủ RADIUS không được cấu hình để sử dụng bất kỳ chứng chỉ nào, mọi người dùng đều có một mục trong /etc/freeradius/userstệp trông như thế này:
john.doe Cleartext-Password := "my_password"
Máy khách RADIUS đã được cấu hình theo cách tối giản - đây là của chúng tôi /etc/freeradius/clients.conf
client RADIUSClient {
ipaddr = <our office external IP>
secret = <secret key shared with the Access Point>
require_message_authenticator = no
}
Thiết lập này dường như hoạt động tốt với tất cả các điện thoại di động và hầu hết MacBook. MacBook trước tiên phàn nàn về một chứng chỉ tự ký không đáng tin cậy (có thể hiểu được), nhưng sau khi đặt chứng chỉ này là đáng tin cậy, mọi thứ đều hoạt động trơn tru.
Tuy nhiên, một số MacBook sau khi được kết nối thành công, bắt đầu hiển thị các lỗi xác thực trong các khoảng thời gian ngẫu nhiên (1-30 phút):
Authentication failed on network “Network SSID”.
The authentication server is unresponsive. Contact your network administrator to check the network infrastructure.
Có một nút "Ngắt kết nối" trong hộp thoại này. Tuy nhiên, cho đến khi người dùng nhấn nút này, MacBook vẫn kết nối hoàn hảo. Cửa sổ có thể được di chuyển ra khỏi màn hình, nhưng nó lặp đi lặp lại đến trung tâm, gây khó chịu cho người dùng. Nhấp vào "Ngắt kết nối" ngắt kết nối máy tính xách tay khỏi Wi-Fi và sau vài giây, Mac sẽ kết nối lại với cùng một mạng, để lại một bản ghi đăng nhập thành công trong nhật ký máy chủ RADIUS.
Trong khi thử điều tra, tôi thấy rằng khi được kết nối với mạng WPA Enterprise, MacBook sẽ hiển thị mục nhập bổ sung trong cài đặt mạng có tên là 802.1X . Khi được kết nối bình thường, nó báo "Được xác thực qua EAP-PEAP (MSCHAPv2)" mọi lúc kể từ khi được kết nối ( xem ảnh chụp màn hình ). Nhấn nút "Ngắt kết nối" ngay lập tức ngắt kết nối máy tính xách tay khỏi Wi-Fi.
Trên các máy tính xách tay có vấn đề này với cửa sổ sự cố xác thực bật lên, sau một khoảng thời gian ngẫu nhiên, thông báo "Xác thực qua ..." biến mất và bắt đầu thử xác thực mới ( xem ảnh chụp màn hình ). Sau một thời gian, thông báo thay đổi thành "Máy chủ xác thực không phản hồi". Tôi đã xem nhật ký máy chủ RADIUS: mỗi khi người dùng kết nối với Wi-Fi, có một bản ghi xác thực thành công, nhưng không có gì được ghi lại trong các lần thử xác thực này được hiển thị trong phần "802.1X".
Sau vài chu kỳ giữa các thông báo "Xác thực ..." và "Máy chủ xác thực không phản hồi", hộp thoại bật lên.
Vì điều này chỉ xảy ra trên một vài máy tính xách tay, tôi không nghĩ đây là sự cố máy chủ, nhưng tôi không biết làm thế nào để khắc phục sự cố cho những người có nó. Tôi đã không có nó ban đầu, nhưng khi tôi bắt đầu thử nghiệm chuyển đổi mạng, xóa và tạo lại mạng, tôi đã quản lý để tái tạo vấn đề và bây giờ không thể thoát khỏi nó :)
Bất cứ ai có thể xin đề nghị hướng điều tra đúng?
CẬP NHẬT (03.03.2017). Cuối cùng đã quyết định chuyển sang một điểm truy cập cấp doanh nghiệp. Chúng tôi đã mua và cài đặt UniFi APAC PRO , và vấn đề đã biến mất.