Toon posts:

Hoe EAP-MSCHAPv2 in één keer goed authenticeren?

Pagina: 1
Acties:

Onderwerpen

Wpa2

zaterdag 18 februari 2012 16:42

Acties:
  • 0 Henk 'm!
  • Vinnienerd
  • Registratie: Juli 2000
  • Laatst online: 22:42

Vinnienerd

Topicstarter
Ik ben ben bezig voor een kleine organisatie een wifi-netwerk op te zetten. Hierbij maak ik gebruik van WPA2-Enterprise, en ik authenticeer gebruikers dmv. EAP-MSCHAPv2. Dit wordt ook veel gebruikt op de eduroam-netwerken in het hoger onderwijs over de hele wereld.
Het probleem waar ik hierbij tegenaanloop is dat Windows 7 gebruikers voor de eerste keer aanmelden bij de draadloze netwerken een profiel aan moeten maken en de SSID handmatig in moeten vullen. Vervolgens moet de gebruiker in dit venster
Afbeeldingslocatie: http://dl.dropbox.com/u/15193798/vinkje.png
het vinkje weghalen. Anders gaat authenticeren helemaal niet goed.
Onder eduroam op zowel de HvA als de UvA gaat het aanmelden echter in één keer goed. De gebruiker kan de eerste keer gewoon in het netwerkselectiescherm op verbinden drukken, en hoeft alleen maar het certificaat te accepteren en zijn credentials in te vullen.
Blijkbaar stuurt freeradius iets terug waardoor Windows weet dat het om credentials moet vragen, en niet de Windows-aanmeldingsnaam mee moet sturen.
Ik heb getracht te vinden welke RADIUS-attributes dit zouden kunnen zijn, maar geen succes.

Weet iemand hoe de admins dit voor elkaar gekregen hebben? Ik wil graag dat nieuwe Win7 clients gewoon op verbinden kunnen drukken zonder dat ze het configuratiescherm in moeten duiken.
Ik wou het liever eerst hier vragen voordat ik poog de admins van de desbetreffende organisaties te mailen.

zaterdag 18 februari 2012 16:55

Acties:
  • 0 Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Mischien is mijn informatie outdated, maar ik dacht dat Eduroam EAP-TTLS (met eventueel MSCHAPv2 authenticatie in die tunnel) of PEAP gebruikte, en dus niet EAP-MSCHAPv2.

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 18 februari 2012 16:58

Acties:
  • 0 Henk 'm!
  • Vinnienerd
  • Registratie: Juli 2000
  • Laatst online: 22:42

Vinnienerd

Topicstarter
CyBeR schreef op zaterdag 18 februari 2012 @ 16:55:
Mischien is mijn informatie outdated, maar ik dacht dat Eduroam EAP-TTLS (met eventueel MSCHAPv2 authenticatie in die tunnel) of PEAP gebruikte, en dus niet EAP-MSCHAPv2.
PEAP = EAP-MSCHAPv2[bron]

zaterdag 18 februari 2012 16:58

Acties:
  • 0 Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Vinnienerd schreef op zaterdag 18 februari 2012 @ 16:58:
[...]


PEAP = EAP-MSCHAPv2[bron]
Right, fair enough maar dan nog gebruikt de UvA en dergelijke zover ik weet alleen EAP-TTLS.

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 18 februari 2012 17:13

Acties:
  • 0 Henk 'm!
  • Vinnienerd
  • Registratie: Juli 2000
  • Laatst online: 22:42

Vinnienerd

Topicstarter
CyBeR schreef op zaterdag 18 februari 2012 @ 16:58:
[...]


Right, fair enough maar dan nog gebruikt de UvA en dergelijke zover ik weet alleen EAP-TTLS.
Ik heb m'n outer tunnel op TTLS ingesteld, en m'n inner-tunnel op mschapv2. Hetzelfde resultaat. Mijn iPhone lukt het wel (na het aanmaken van een profiel).
Na een reboot van m'n AP vraagt hij nu wel meteen om een user en pass. D Deze mag de archieven in :D

[ Voor 12% gewijzigd door Vinnienerd op 18-02-2012 17:20 ]

zaterdag 18 februari 2012 17:23

Acties:
  • 0 Henk 'm!
  • webfreakz.nl
  • Registratie: November 2003
  • Laatst online: 21-08 15:56

webfreakz.nl

el-nul-zet-é-er

Vinnienerd schreef op zaterdag 18 februari 2012 @ 16:58:
[...]


PEAP = EAP-MSCHAPv2[bron]
Nee.

Er staat ook:
PEAPv0/EAP-MSCHAPv2 is the most common form of PEAP in use, and what is usually referred to as PEAP.
. En iets eerder op die pagina:
The protocol only specifies chaining multiple EAP mechanisms and not any specific method.[2][7] However, use of the EAP-MSCHAPv2 and EAP-GTC methods are the most commonly supported.
Maar daar staat niet dat "PEAP = EAP-MSCHAPv2". Want "most common" != altijd.

PEAP is een tunneling die TLS gebruikt maar de stream anders opbouwt dan EAP-TTLS doet. Beide kunnen EAP authenticatie methoden vervoeren, en dus ook EAP-MSCHAPv2. Er zijn 802.1X clients voor Windows die vele malen meer EAP authenticatie methoden ondersteunen dan de standaard ingebakken Windows 802.1X cliënt. Je zou ook PEAP met tunneling kunnen doen van EAP-Vinnienerd_zijn_authenticatie_protocol. Moet je alleen even een implementatie zien te schrijven die de 802.1X client én RADIUS server ondersteunen ;)

[ Voor 21% gewijzigd door webfreakz.nl op 18-02-2012 17:26 ]

"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!

zaterdag 18 februari 2012 17:24

Acties:
  • 0 Henk 'm!
  • Adze
  • Registratie: Juli 2001
  • Laatst online: 19:23

Adze

CCNP !

Start radius eens handmatig, met de -X optie. Dan kun je mogelijk zien waar het spaak loopt..

Edit: Ik lees weer half... laat maar... sorry

[ Voor 20% gewijzigd door Adze op 18-02-2012 17:28 ]

zaterdag 18 februari 2012 17:28

Acties:
  • 0 Henk 'm!
  • Vinnienerd
  • Registratie: Juli 2000
  • Laatst online: 22:42

Vinnienerd

Topicstarter
webfreakz.nl schreef op zaterdag 18 februari 2012 @ 17:23:
[...]


Nee.

Er staat ook:
[...]
. En iets eerder op die pagina:
[...]


Maar daar staat niet dat "PEAP = EAP-MSCHAPv2". Want "most common" != altijd.

PEAP is een tunneling die TLS gebruikt maar de stream anders opbouwt dan EAP-TTLS doet. Beide kunnen EAP authenticatie methoden vervoeren, en dus ook EAP-MSCHAPv2. Er zijn 802.1X clients voor Windows die vele malen meer EAP authenticatie methoden ondersteunen dan de standaard ingebakken Windows 802.1X cliënt. Je zou ook PEAP met tunneling kunnen doen van EAP-Vinnienerd_zijn_authenticatie_protocol. Moet je alleen even een implementatie zien te schrijven die de 802.1X client én RADIUS server ondersteunen ;)
Wat ik alleen maar wou zeggen is dat wat CyBeR bedoelt met PEAP, in de praktijk neerkomt op EAP-MSCHAPv2 ;)

woensdag 22 februari 2012 17:49

Acties:
  • 0 Henk 'm!
  • Vinnienerd
  • Registratie: Juli 2000
  • Laatst online: 22:42

Vinnienerd

Topicstarter
EDIT hij lijkt toch niet te werken, dit is wat er gebeurt:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

  User-Name = "host/Vincent-T510i"
        NAS-IP-Address = 145.107.20.252
        Called-Station-Id = "98fc1172efcc"
        Calling-Station-Id = "0026c76f6ad6"
        NAS-Identifier = "98fc1172efcc"
        NAS-Port = 19
        Framed-MTU = 1400
        State = 0x1470ea2e1573f378fbc30cd9c26c5379
        NAS-Port-Type = Wireless-802.11
        EAP-Message = 0x0203006919800000005f160301005a0100005603014f451b8b1a918c22d05d474084ba0ed2e10c6ad475246e5137c78143b7818326000018002f00350005000ac013c014c009c00a003200380013000401000015ff01000100000a0006000400170018000b00020100
        Message-Authenticator = 0xcb6135f6dc39b4bfbcb0e19aa05c8ee5
# Executing section authorize from file /etc/freeradius/sites-enabled/default
+- entering group authorize {...}
++[preprocess] returns ok
++[chap] returns noop
++[mschap] returns noop
++[digest] returns noop
[suffix] No '@' in User-Name = "host/Vincent-T510i", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] returns noop


Hij stuurt dus toch gewoon de domain credentials ipv. te vragen er om. Ik heb nu dus ttls aanstaan met daarin mschapv2. Certificaat accepteert 'ie (gebruik een freessl trial). Kan het aan mij AP liggen?
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq