Tenemos una pequeña oficina con ~ 20 personas, cada una con un MacBook y, opcionalmente, también con un teléfono móvil. Anteriormente utilizamos Wi-Fi habitual con una clave compartida, pero recientemente lo configuré en WPA Enterprise, donde todos los usuarios recibieron sus propias credenciales: par de inicio de sesión / contraseña. La autenticación pasa por un freeradius
servicio que se ejecuta en una caja AWS EC2.
El servidor RADIUS no está configurado para usar ningún certificado, cada usuario tiene una entrada en el /etc/freeradius/users
archivo que se ve así:
john.doe Cleartext-Password := "my_password"
El cliente RADIUS se ha configurado de forma minimalista: aquí está nuestro /etc/freeradius/clients.conf
client RADIUSClient {
ipaddr = <our office external IP>
secret = <secret key shared with the Access Point>
require_message_authenticator = no
}
Esta configuración parece funcionar bien con todos los teléfonos móviles y la mayoría de las MacBooks. MacBooks primero se queja de un certificado autofirmado no confiable (lo cual es comprensible), pero después de configurar este certificado como confiable, todo funciona sin problemas.
Sin embargo, algunas MacBooks, después de conectarse con éxito, comienzan a mostrar errores de autenticación en intervalos aleatorios (1-30 minutos):
Authentication failed on network “Network SSID”.
The authentication server is unresponsive. Contact your network administrator to check the network infrastructure.
Hay un solo botón "Desconectar" en este cuadro de diálogo. Sin embargo, hasta que el usuario presione este botón, la MacBook permanece perfectamente conectada. La ventana se puede alejar de la pantalla, pero se eleva una y otra vez hacia el centro, irritando a los usuarios. Al hacer clic en "Desconectar", se desconecta la computadora portátil del Wi-Fi y, en unos segundos, la Mac se vuelve a conectar a la misma red, dejando un registro de inicio de sesión exitoso en los registros del servidor RADIUS.
Mientras intentaba investigar, vi que cuando estaba conectado a la red WPA Enterprise, MacBook muestra una entrada adicional en la configuración de red llamada 802.1X . Cuando está conectado normalmente, dice "Autenticado a través de EAP-PEAP (MSCHAPv2)" todo el tiempo desde que está conectado ( ver captura de pantalla ). Al presionar el botón "Desconectar", se desconecta inmediatamente la computadora portátil del Wi-Fi.
En aquellas computadoras portátiles que tienen estos problemas con la ventana emergente de problema de autenticación, después de un período aleatorio, el mensaje "Autenticado vía ..." desaparece y comienza un nuevo intento de autenticación ( ver captura de pantalla ). Después de un tiempo, el mensaje cambia a "El servidor de autenticación no responde". Miré los registros del servidor RADIUS: cada vez que un usuario se conecta a Wi-Fi, hay un registro de autenticación exitoso, pero no se registra nada durante estos intentos de autenticación que se muestran en la sección "802.1X".
Después de varios ciclos entre los mensajes "Autenticando ..." y "El servidor de autenticación no responde" aparece el cuadro de diálogo.
Como esto solo ocurre en un par de computadoras portátiles, no creo que sea un problema del servidor, pero no tengo idea de cómo solucionar el problema para aquellos que lo tienen. Inicialmente no lo tenía, pero cuando comencé a experimentar con cambiar de red, eliminar y volver a crear redes, logré reproducir el problema y ahora no puedo deshacerme de él :)
¿Alguien puede sugerir la dirección correcta de investigación?
ACTUALIZACIÓN (03.03.2017). Finalmente se decidió cambiar a un punto de acceso de clase empresarial. Compramos e instalamos UniFi APAC PRO , y el problema desapareció.