Smartphones und Fehlersuche

Individuelle Authentifizierung mit Freeradius unter Linux

Praxis & Tipps | Praxis

Seite 7: Smartphones und Fehlersuche

Die richtigen Einstellungen für ein Android-2.1-Handy lauten PEAP und MSCHAPv2.

Auch drei Smartphones ließen sich mit ein wenig Mühe überreden, Verbindung mit unserem Radius-geschützten WLAN aufzunehmen: Das iPhone nahm mit der Einstellung "Automatisch" für die Authentifizierungsmethode ohne Weiteres Verbindung mit unserem Funknetz auf, nachdem es uns das vom Server vorgelegte Zertifikat zum Überprüfen angezeigt hatte. Auch ein unter Android 2.1 laufendes HTC Sense verband sich anstandslos mit seiner Default-Einstellung PEAP/MSCHAPv2.

Bei Nokias E65 mussten wir die WLAN-Verbindung von Hand einrichten, da sein WLAN-Assistent beim Verbindungsversuch mit dem Radius-Funknetz penetrant nach einem WPA-Passwort fragte. Also setzte ein fröhliches Hangeln durchs Menü ein, hier extrem gerafft: System/Einstellungen/Verbindung/Zugangspunkte/Optionen/Neuer Zugangspunkt/Standardeinstellungen, Verbindungsname = Radiustest, Datenträger = WLAN, WLAN-Netzname = cttest-rad, WLAN-Sich.-Einstellungen/EAP Plug-in-Einstell. = nur EAP-LEAP, Optionen/Konfigurieren: Benutzername und Passwort eintragen. Danach bekommt das Handy über den WLAN-Assistenten Verbindung mit dem Radius-Funknetz.

Freeradius' Log-Datei gibt Hinweise, warum Verbindungsversuche fehlschlagen: Hier will sich ein Client über ein unbekanntes Stammzertifikat anmelden. Der verwendete Nutzername steht dabei in eckigen Klammern.

Dem Freeradius-Server liegt das Tool radsniff bei. Es zeigt die zwischen Server und NAS ausgetauschten Radius-Pakete im Klartext an, wenn man es mit dem Shared Secret versorgt: radsniff -s radiustest123. Die in den Radius-Frames gekapselte EAP-Kommunikation kann radsniff zwar nicht entschlüsseln, verrät aber immerhin, ob die Kommunikation zwischen Antragsteller und Radius-Server überhaupt klappt und wer von beiden die Verbindung abgelehnt hat.

Um herauszufinden, ob das erfolglose Anmelden an einem Vertipper beim Nutzernamen liegt, kann man den Radius-Server die Verbindungsanfragen in seine Log-Datei schreiben lassen. Ersetzen Sie dazu das "no" in der Zeile auth = no im log{}-Abschnitt der Datei /etc/raddb/radiusd.conf durch ein "yes". Dann starten Sie den Radius-Server mit rcfreeradius restart neu. (ea)

Anzeige