felixcc
Goto Top

Android und FreeRadius 802.1x Authentifizierung

Hallihallo,

ich hab zu dem Thema ja schon einges gefragt und bin auch schon weiter gekommen, doch an dieser Stelle hänge ich mal wieder.

Hat es von euch schon jemand geschafft, sein Android-basierendens Gerät am eigenen Freeradius zu authentifizieren?

Ich habe das Stammzertifikat (ca.der) auf einem Windows7 Laptop installiert und mit Benutzerinformationen (definiert in users.conf) kann ich mich anmelden.
Ich bekomme es nun auch schon hin, das Zertifikat auf dem Android-gerät zu installieren.
Doch jeglicher Verbindungsversuch bleibt erfolglos und kommt noch nicht einmal bis zum Radius-Server durch.
Der Radiusserver ist prinzipiell nach diesem Tutorial installiert: Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Ich habe also kein Client-Zertifikat erstellt. Benötige ich das unbedingt?

Ich kann folgende Einstellungen auf dem Gerät machen.

EAP-Methode: PEAP | TLS | TTLS
Phase 2-Authentifizierung: keine | PAP | MSCHAP | MSCHAP2 | GTC
CA-Zertifikat: <auswahlliste aus installierten Zertifikaten>
Client-Zertifikat: <auswahlliste aus installierten Zertifikaten>
Passwort für den privaten Schlüssel: <Eingabefeld>
Identität: <Eingabefeld>
anonyme Identität: <Eingabefeld>
Passwort für den Wireless-Zugang: <Eingabefeld>

Eingestellt habe ich PEAP
MSCHAP2
CA-Zertfikat ist jenes aus dem Tutorial
Client-Zertifikat habe ich keines
Passwort für den privaten Schlüssel = Zertifikatspasswort?
Identität= <Eintrag aus der Users.conf>
anonyme Identität = ?
Passwort: <Eintrag aus der Users.conf>

was mache ich falsch?
Woran könnte es liegen, dass die Anfrage nicht über den AP hinaus geht -also der Radius-server nichts von dem Verbindungsversuch mitbekommt?

Gruß
Felix

Content-ID: 162682

Url: https://administrator.de/forum/android-und-freeradius-802-1x-authentifizierung-162682.html

Ausgedruckt am: 23.12.2024 um 11:12 Uhr

aqui
aqui 19.03.2011, aktualisiert am 18.10.2012 um 18:46:13 Uhr
Goto Top
Wichtig für eine erfolgreiche Hilfe ist die Beantwort folgender Fragen:
  • Kannst du vom Radius Server den AP anpingen und auch andersrum ?
  • Hast du die Authentisierung am AP auf WPA Enterprise gestellt also über Radius ??
  • Was ergibt der Test des Radius Servers mit dem Tool NTRadPing ?? Sichere 802.1x WLAN-Benutzer Authentisierung über Radius Klappt das ??
  • Starte den Radius Server einmal im Debugging modus mit radiusd -X wie im Tutorial beschrieben ! Kannst du dort eingehende Android Requests vom AP sehen ?? Wenn ja was steht dort ?
  • Du musst das Client Zertifikat importieren sonst machst du ja nur einen User/Passwort Authentifizierung ! Bei Smartphones reicht es in der Regel wenn man das Client Zertifikat per Email als Attachment ans Smartphone schickt. Beim Abfragen wird es dann sofort installiert. Hast du ja vermutlich schon gemacht...

Die o.a. Fragen solltest du erstmal detailiert beantworten, denn sonst raten wir hier alle im freien Fall weiter was nicht zielführend ist !!
felixcc
felixcc 19.03.2011 um 18:24:09 Uhr
Goto Top
Hallo,
ich kann vom Radius den AP anpingen,
der AP ist auf Radius gestellt,
NTRadPing läuft
und wenn ich im debuggingmodus starte kommen keien anfragen vom android an.

Also es ist alles soweit eingerichtet, dass ich mich mit meinem Laptop authentifizieren kann-
Bis jetzt nur mit installiertem serverzertifikat und Benutzernamen (also ohne Clientzertifikat).
Aber ich weiß einfach nciht warum, die Anfrage vom android nciht bis zum radius durchkomme.
Hatte gehofft, dass jemadn bescheid weiß, was ich wo eintragen muss.

Aber wie sieht es denn genau aus, wenn ich noch für die benutzer ein clientzertifikat einführen muss.
Welche Eintragungen muss ich denn in der Users.conf treffen?

Gruß
Felix
aqui
aqui 20.03.2011 um 12:37:49 Uhr
Goto Top
Vom Android kommen auch keine Anfragen !! Die Anfragen kommen immer vom AP an den Radius. Sowie sich also der Android versucht mit dem WLAN zu assoziieren musst du sofort eingehende Radius Requests vom AP sehen. Das funktioniert analog genau so wie mit einem Laptop der sich per WLAN assoziiert !
Am Client egal ob PC oder Android stellst du doch auch gar nichts ein. Dem musst du ja nicht sagen das er irgendwas an den Radius schicken muss, das ist Unsinn. Der Authenticator ist immer der AP, der hat ja auch die IP des Radius Konfiguriert. Der Client egal ob Laptop oder Android kennt die IP des Radius und damit dann auch den Radius doch gar nicht !
Im Internet gibt es zahllose Beispiele wie das einzustellen ist:
http://www.tubit.tu-berlin.de/wlan/zugang_und_anleitungen/eduroam_mit_a ...
Einfach Dr.Google mal nach "Android 802.1x" befragen....
felixcc
felixcc 20.03.2011 um 23:49:41 Uhr
Goto Top
Hey aqui,

da hab ich mich total bescheuert ausgedrückt.
Ich meinte, dass man im Debuggingmodus nichts von dem Verbindungsversuch des Androids sieht.
Man müsste ja zumindest die Requests vom AP an den Radius mitbekommen, aber da läuft rein garnichts.
Also scheint es wohl eher am Android-Gerät zu liegen, wenn noch nicht einmal ne Anfrage vom AP an den Radius kommt.
Ich werde mir morgen dann mal die Diagonsen von Dr. Google zu diesem Thema durcharbeiten.

trotzdem vielen Dank, aqui!
71988
71988 23.11.2011 um 13:16:32 Uhr
Goto Top
ich hab ne Frage wie hast du denn das Zertifikat installiert und in welchem Format? Ich hab ein Acer Tablet mit Android hier aber mit einem Filemanager kann ich es nicht irgendwie installieren und unter Einstellungen -> Sicherheit findet er nichts aufmeiner SD Karte.

Danke