Forum Linux.embarqué PFsense 2.0.1-p6, Freeradius et client wifi

Posté par .
Tags : aucun
0
5
sept.
2012

Bonjour cher forum,

aujourd'hui je viens à toi car j'ai un probleme de wifi avec authentification radius.

l'archi reseau est là suivante

Serveur LDAP 
|
[ LAN ]-> Pfsense (freeradius, dhcp, dns)
|
Bornes WIFI

lorsque je teste l'interrogation radius avec le client en ligne de commande depuis le LAN, pas de probleme

lorsque je connecte un telephone portable (iOS ou Android) en wifi, pas de soucis

mais quand je veux connecter un ordinateur windows7 en wifi avec identification sur le Radius, ca ne veut pas.

Pfsense me dit ca dans les logs :

quand ca marche (avec un telephone portable)

Sep 5 16:25:19  radiusd[49638]: Login OK: [prenom.nom] (from client borne202 port 0 cli E8-AA-BB-CC-DD-EE)
Sep 5 16:25:19  radiusd[49638]: Login OK: [prenom.nom] (from client borne202 port 0 cli E8-AA-BB-CC-DD-EE)
Sep 5 16:25:19  radiusd[49638]: Login OK: [prenom.nom] (from client borne202 port 0 via TLS tunnel)
Sep 5 16:25:19  radiusd[49638]: Login OK: [prenom.nom] (from client borne202 port 0 via TLS tunnel)

quand ca ne marche pas (avec le windows)

Sep 5 16:24:36 radiusd[49638]: Login incorrect (TLS Alert read:fatal:unknown CA): [prenom.nom/<via Auth-Type = EAP>] (from client borne206 port 0 cli 00-AA-BB-CC-DD-EE)
Sep 5 16:24:36  radiusd[49638]: Login incorrect (TLS Alert read:fatal:unknown CA): [prenom.nom/<via Auth-Type = EAP>] (from client borne206 port 0 cli 00-AA-BB-CC-DD-EE)
Sep 5 16:24:36  radiusd[49638]: SSL: SSL_read failed inside of TLS (-1), TLS session fails.
Sep 5 16:24:36  radiusd[49638]: SSL: SSL_read failed inside of TLS (-1), TLS session fails.
Sep 5 16:24:36  radiusd[49638]: rlm_eap: SSL error error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca
Sep 5 16:24:36  radiusd[49638]: rlm_eap: SSL error error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca
Sep 5 16:24:36  radiusd[49638]: TLS_accept: failed in SSLv3 read client certificate A
Sep 5 16:24:36  radiusd[49638]: TLS_accept: failed in SSLv3 read client certificate A
Sep 5 16:24:36  radiusd[49638]: TLS Alert read:fatal:unknown CA
Sep 5 16:24:36  radiusd[49638]: TLS Alert read:fatal:unknown CA

si quelqu'un a une idée ?
evidemment je vois bien que le telephone se connecte via la borne202, et l'ordi via la borne 206
mais elles ont normalement la meme config pour aller chercher le meme radius.

  • # Installation du certificat client ?

    Posté par (page perso) . Évalué à  2 .

    • As tu bien installé le certificat client sur le windows ? ( failed in SSLv3 read client certificate A )

    • As-tu généré le certificat correctement ? unknown CA): prenom.nom/ <--- le "/" me parait bizarre….

    Sinon voici un petite documentation genre procédure détaillée pour poste windows de nos amis de chez freeRadius. Base de départ bien solide et éprouvé !

    Je sais tu es en "chaiven" mais grosso modo c'est pareil !
    Sinon tu peux faire un petit essai avec une VM et un "ixpeu" !

    Fuse : j'en Use et Abuse !

    • [^] # Re: Installation du certificat client ?

      Posté par . Évalué à  2 . Dernière modification : le 05/09/12 à 18:44

      As tu bien installé le certificat client sur le windows ? ( failed in SSLv3 read client certificate A )

      non, et je ne vais pas generer 600certificats pour chacun des etudiants qui va vouloir se connecter
      c'est un peu l'interet d'avoir un annuaire (ici un openldap) qui serve ensuite à identifier les utilisateurs.

      As-tu généré le certificat correctement ? unknown CA): prenom.nom/ <--- le "/" me parait bizarre….

      je n'ai pas genéré de certificat, j'ai fait confiance à PfSense, ca doit cependant etre un certificat autosigné

      prenom.nom/ c'est l'editeur de forum qui gere les [ autour des mots du coup les logs etaient deformés, c'est maintenant corrigé

      et quand je veux me connecter avec un telephone portable ou une tablette, ca me demande juste le login/pass sans plus de question que cela et ca marche tres bien (sans avoir installé de certificat racine, client ou serveur)

  • # j'ai trouvé

    Posté par . Évalué à  2 .

    c'est finalement un peu de la faute à tout le monde
    - un windows pas à jour qui cherchera toujours a verifier le certificat du serveur meme si tu lui dis de ne pas le faire
    - un admin (moi) qui se contente du certificat autosigné

    donc finalement, ca marche avec un annuaire ldap.

    prochaine etape passer du LDAP à l'annuaire samba4 (equivalent à un active directory)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.