配置FreeRADIUS仅支持EAP TTLS PAP

时间:2015-08-17 15:38:51

标签: freeradius

我有一个只支持PAP的外部RADIUS服务器。我已将FreeRADIUS 2.2.4配置为将EAP-TTLS隧道(从为WPA2 Enterprise配置的WiFi接入点)内的PAP请求代理到此RADIUS服务器,并使用eapol_test对其进行了测试。我可以手动配置PC或Mac只发送EAP-TTLS + PAP,但这不是理想的。

当未配置的WPA2 Enterprise客户端连接时,他们会尝试PEAP和LEAP以及EAP-MD5。我禁用了大多数其他EAP类型,但似乎我需要TTLS块中{{1}}支持至少一种其他EAP类型。我的eap.conf中未注释的部分如下:

{{1}}

有没有办法配置FreeRADIUS,以便在TTLS中不允许EAP类型或在隧道内明确要求PAP?

谢谢, -rohan

1 个答案:

答案 0 :(得分:0)

尝试设置除默认值之外的新服务器...

server my-server {
   authorize { ... }

   authenticate { 
       eap
   }

   accounting { ... }
}

然后为第二次身份验证创建内部隧道

server my-tunnel {
     authorize {
          pap
     }
     ...
     authenticate {
         Auth-Type PAP {
            pap
         }
     }
     ...
}

您需要修改EAP配置:

eap {
            default_eap_type = ttls
            ...

            ttls {
                    default_eap_type = gtc
                    copy_request_to_tunnel = yes
                    use_tunneled_reply = yes
                    virtual_server = "my-tunnel"
            }
            ...
     }

然后为每个客户端指定要用于处理身份验证请求的服务器

client example {
    ipv6addr       = x.x.x.x
    netmask        = 32
    secret         = *******
    shortname      = example
    virtual_server = my-server
}

我确定这会启用您想要做的事情。

此致

-Hernan Garcia