Temos um pequeno escritório com aproximadamente 20 pessoas, cada uma usando um MacBook e, opcionalmente, conectando-se também a um telefone celular. Anteriormente, usamos o Wi-Fi comum com uma chave compartilhada, mas recentemente eu o reconfigurei no WPA Enterprise, onde todos os usuários recebiam suas próprias credenciais: par de login / senha. A autenticação passa por um freeradius
serviço em execução em uma caixa do AWS EC2.
O servidor RADIUS não está configurado para usar nenhum certificado; todo usuário tem uma entrada no /etc/freeradius/users
arquivo que se parece com isso:
john.doe Cleartext-Password := "my_password"
O cliente RADIUS foi configurado de maneira minimalista - eis a nossa /etc/freeradius/clients.conf
client RADIUSClient {
ipaddr = <our office external IP>
secret = <secret key shared with the Access Point>
require_message_authenticator = no
}
Essa configuração parece funcionar bem com todos os telefones celulares e a maioria dos MacBooks. Os MacBooks se queixam primeiro de um certificado autoassinado não confiável (o que é compreensível), mas depois de definir esse certificado como confiável, tudo funciona sem problemas.
No entanto, alguns MacBooks, depois de se conectarem com êxito, começam a exibir erros de autenticação em intervalos aleatórios (1 a 30 minutos):
Authentication failed on network “Network SSID”.
The authentication server is unresponsive. Contact your network administrator to check the network infrastructure.
Há um único botão "Desconectar" nesta caixa de diálogo. No entanto, até o usuário pressionar esse botão, o MacBook permanece perfeitamente conectado. A janela pode ser afastada da tela, mas sobe para o centro repetidas vezes, irritando os usuários. Clicar em "Desconectar" desconecta o laptop do Wi-Fi e, em alguns segundos, o Mac se reconecta à mesma rede, deixando um registro de login bem-sucedido nos registros do servidor RADIUS.
Ao tentar investigar, vi que, quando conectado à rede WPA Enterprise, o MacBook exibe uma entrada adicional na configuração de rede chamada 802.1X . Quando normalmente conectado, ele diz "Autenticado via EAP-PEAP (MSCHAPv2)" o tempo todo desde que foi conectado ( veja a captura de tela ). Pressionar o botão "Desconectar" desconecta imediatamente o laptop do Wi-Fi.
Nos laptops que apresentam esse problema com a janela do problema de autenticação, após um período aleatório a mensagem "Authenticated via ..." desaparece e uma nova tentativa de autenticação é iniciada ( veja a captura de tela ). Depois de algum tempo, a mensagem muda para "O servidor de autenticação não está respondendo". Examinei os logs do servidor RADIUS: sempre que um usuário se conecta ao Wi-Fi, há um registro de autenticação bem-sucedido, mas nada é registrado durante essas tentativas de autenticação exibidas na seção "802.1X".
Após vários ciclos entre as mensagens "Autenticando ..." e "O servidor de autenticação não está respondendo", a caixa de diálogo é exibida.
Como isso acontece apenas em alguns laptops, não acho que seja um problema de servidor, mas não tenho idéia de como corrigir o problema para quem o possui. Inicialmente, eu não o tinha, mas quando comecei a experimentar a troca de redes, a exclusão e a recriação de redes, consegui reproduzir o problema e agora não consigo me livrar dele :)
Alguém pode sugerir a direção certa da investigação?
ATUALIZAÇÃO (03.03.2017). Finalmente, decidiu-se mudar para um ponto de acesso de classe empresarial. Compramos e instalamos o UniFi APAC PRO , e o problema desapareceu.
fonte
Respostas:
Você executou o diagnóstico de WiFi em um dos Macs afetados? Pode revelar algo fora da sua rede, como um ponto de acesso próximo que não possui o código do país configurado corretamente. Isso aconteceu quando o FiveGuys desceu as escadas e montou um ponto de acesso configurado incorretamente. Sua mudança para um UniFi AP enquanto uma boa opção ainda pode estar encobrindo a causa raiz.
fonte