实施802.1X认证,其中包括从设立RADIUS服务器饲养最终用户相连,是不容易的。
使用802.1x的连接过程复杂,打开你的网络了很多更多的潜在连接问题。例如,分组为802.1X认证额外的交换增加了它需要连接和漫游在不同的时间无线访问点。
如果您遇到连接问题,这里有一些故障排除技术,功能,你可以使用的工具。
1.检查RADIUS服务器日志
在客户机上执行故障诊断步骤之前,应该检查RADIUS服务器上的日志。如果身份验证尝试到达服务器,日志通常可以让您了解底层问题。但是,如果日志不起作用,或者身份验证尝试没有到达服务器,那么可以通过其他方法继续进行故障排除。
2.地址间歇性连接问题
如果客户端出现间歇性连接问题——定期断开连接,从睡眠状态恢复后不能重新连接,或者在无线接入点之间不能很好地漫游——你可能首先想要消除一般的网络问题。
对于自己的无线配置软件附带的无线适配器,请尝试卸载它,因此适配器使用本机视窗接口和微软802.1x客户端。也可以考虑重新安装,甚至更新客户端的网络适配器的驱动程序。
如果客户端仍然间歇性地断开连接(即使自动重新连接),可能是因为没有使用快速漫游技术。默认情况下,完整的802.1X身份验证过程必须在客户端第一次连接到网络时、漫游到另一个无线访问点时以及在802.1X会话间隔过期后进行。这个完整的身份验证过程可能会中断客户端连接,特别是对于像这样对延迟敏感的通信流网络电话或视频流。
当快速漫游技术是您的网络支持,但是,它有助于减少客户端必须在网络上完全认证过程的量。三种最流行的技术被称为WPA / WPA2快速重新连接(或EAP会话恢复),WPA2 PMK缓存和预认证。
WPA/WPA2快速重新连接(或EAP会话恢复)从初始连接缓存TLS会话,并使用它来简化和缩短重新身份验证尝试的TLS握手过程。当客户端第一次连接到802.1X网络时,这通常是默认启用的,但如果你推网络设置到域客户端,你应该确保快速重新连接是启用的。
WPA2成对主密钥(PMK)缓存允许客户端漫游回原来执行的客户端完全认证接入点时,进行局部验证过程。这通常是通过默认在Windows启用,720分钟(12小时)默认的过期时间。在Windows 7中,以后你可以通过对每个网络连接的高级802.1X设置配置这些设置,但是在Windows Vista和更早他们必须通过注册表项或组策略进行编辑。
预认证是一步比PMK缓存,连接到只有一个,它可以帮助漫游的无线网络更加无缝之后基本上执行PMK缓存与其它接入点。一旦经由一个接入点的客户端进行认证,在现有的网络连接被用来传送认证信息到其它接入点。默认情况下,预认证是由Windows禁用的,但可以通过高级802.1X设置在Windows 7或更高版本,或通过注册表项或组策略在Windows Vista中启用或更早版本。
3.解决单个客户端的连接问题
如果单个计算机或设备无法连接,首先要检查的是是否提供了正确的登录凭据。例如,如果使用PEAP,需要提供用户名和密码,如果使用EAP-TLS,需要提供智能卡和PIN,或者用户证书。
接下来,您可能需要检查与网络相关的一般性问题,比如无线适配器或操作系统。因此,请考虑禁用和重新启用客户机的网络连接以及重新启动计算机或设备等步骤。
接下来,你可能想看看是否有相关的RADIUS服务器验证问题,由客户端验证,以确保RADIUS服务器的合法性与认证向前移动之前。要查看它是否导致了问题,你可以暂时禁用它。虽然这台服务器的验证是可选的,它通常是在默认情况下在Windows启用802.1X网络,而在智能手机和片剂通常必须手动设置。
在使用Windows时,可以通过取消EAP属性对话框中的Validate server certificate选项来禁用服务器验证。对于智能手机和平板电脑,如果之前已经安装和选择了证书权威证书,你可以取消网络属性中的证书权威证书。
如果计算机或设备在禁用服务器验证之后成功连接到网络,那么客户机上加载的RADIUS服务器的根证书权威证书和/或客户机上的服务器验证设置可能出现错误。但也有一种轻微的可能性,即验证功能正在发挥作用,而您正在连接到另一个RADIUS服务器,甚至可能来自攻击者的假网络,试图执行中间人攻击。
要进一步解决了服务器验证,验证/更改之前重新启用它,并连接一些设置:
•确保计算机或设备在服务器验证中使用了正确的证书权威证书,无论如何都要考虑重新安装证书。
•对于允许你指定RADIUS服务器的IP或FQDN的Windows和其他设备,验证它们是正确的,并考虑暂时删除它们,看看这是否可能是你的问题。
•对于Windows和其他设备,让您的客户端设置为不提示用户信任新的服务器或证书颁发机构,可以考虑禁用的情况下,你已经做了更改您的RADIUS服务器最近该选项。
•验证客户端的系统时间是正确的,因为不正确的时间或日期可能会导致问题,如果它不属于认证机构证书的有效期内。
如果客户端在验证服务器验证设置和禁用验证后仍然不能连接,接下来检查其他客户端设置,可以错误配置:
•验证使用了正确的身份验证模式(机器或用户)。在Windows 7及以后版本中,单击网络属性对话框中的高级按钮,验证所选的身份验证模式。对于Windows Vista及以后版本,请参阅微软的支持站点。
•如果使用EAP-TLS,验证客户端的系统时间是正确的,因为不正确的时间或日期可能会导致问题,如果它不属于用户证书的有效期内。
如果问题仍然存在,最后考虑重新安装客户端的网络适配器驱动程序和RADIUS服务器上验证用户属性(VLAN ID,登录时间等)。
4.用开关或接入点解决连接问题
如果多个客户端无法通过单一的交换机或接入点,首先检查它是否是一个通用的网络问题,如以太网/网络连接,还考虑电源循环开关或接入点连接到您的802.1X网络。然后如果问题仍然存在,验证交换机或接入点的RADIUS服务器设置:
•确保共享密钥是相同的通过为特定接入点的IP地址的RADIUS服务器的定义。
•确保RADIUS IP地址设置为服务器的IP。
•确保所定义的RADIUS端口是那些您的服务器使用,同时要注意服务器可以使用两个不同的端口对:1813分之1812或1645/1646。
记住;你想要的RADIUS服务器和所有交换机和接入点具有静态IP地址,因为如果他们改变它会引起问题。
5.使用故障排除工具
为进一步排除故障,您可以尝试使用基于客户端的工具和实用程序。在Windows Vista或更高版本,例如,你可以使用netsh命令WLAN进行无线跟踪。另外也有第三方应用你可能会考虑:
半径测试是一个基于Windows的RADIUS测试工具配备GUI和命令行访问。您可以发送模拟验证和记帐请求的RADIUS服务器和看到的答复。它支持多种EAP类型。
Radlogin是一个免费的RADIUS测试客户端,可用于Windows, FreeBSD, Sparc Solaris和Linux的平台。您可以使用它来模拟、调试和监视RADIUS服务器。它的监控功能使您能够在RADIUS服务器上保持统计数据,并支持电子邮件警报。
除了故障排除工具,你可能会考虑帮助解决方案802.1X等网络设置分发至客户端,这可以帮助减少配置错误。如果部署域网络与Windows服务器,可以考虑使用组策略来分发的设置。而对于未加入域的客户,可以考虑使用的解决方案,如XpressConnect,QuickConnect,或SU1x。
埃里克:是一个自由作家高科技 - 跟上他的著作他Facebook专页。他还的创始人NoWiresSecurity,基于云的无线网络安全服务,现货科技股,现场计算机服务公司。