Fórum Root.cz

Hlavní témata => Windows a jiné systémy => Téma založeno: ZAJDAN 17. 01. 2017, 13:24:14

Název: FreeRadius - Android autentizace
Přispěvatel: ZAJDAN 17. 01. 2017, 13:24:14
Ahoj,
mam na stole dva androidi telefony. Z jednoho se bez problemu prihlasim a autentizace pres FreeRadius probehne korektne.
Druhý telefon se ale neautentizuje. Zjistil jsem, že i přesto že je v telefonu při připojování zadáno jmeno uživatele/identita, tak na router pošle namísto user-name svou MAC. Router má v logu:
12:54:45 radius,debug,packet     User-Name = "00:01:02:03:04:05"
radius server ma v logu:
Tue Jan 17 11:52:30 2017 : Auth: Login incorrect: [00:01:02:03:04:05/00:01:02:03:04:05]

netušíte co s tím?

díky
Název: Re:FreeRadius - Android autentizace
Přispěvatel: samalama 17. 01. 2017, 16:24:39
hmm nie...
Název: Re:FreeRadius - Android autentizace
Přispěvatel: ByCzech 18. 01. 2017, 04:00:34
Co takhle zkusit v konfiguraci sítě v Androidu pokročilé možnosti a pohrát si s hodnotami "Metoda EAP" a "Ověření Phase 2"?
Tipuji, že tu MAC pošle Android protože se snaží o machine authentication místo user authentication (?!)
Název: Re:FreeRadius - Android autentizace
Přispěvatel: ZAJDAN 18. 01. 2017, 08:25:42
Co takhle zkusit v konfiguraci sítě v Androidu pokročilé možnosti a pohrát si s hodnotami "Metoda EAP" a "Ověření Phase 2"?
Tipuji, že tu MAC pošle Android protože se snaží o machine authentication místo user authentication (?!)
pokud mi ten Android automaticky podbidne formular, kde je k vyplneni jmeno a heslo a presto namisto toho posle MAC, tak je to v tom androidu neco spatne at je nekde pokrocile nastaveni nebo ne, ale diky za tip, zkusim se na to pokrocile nastaveni podivat.
Název: Re:FreeRadius - Android autentizace
Přispěvatel: ByCzech 18. 01. 2017, 08:33:47
Co takhle zkusit v konfiguraci sítě v Androidu pokročilé možnosti a pohrát si s hodnotami "Metoda EAP" a "Ověření Phase 2"?
Tipuji, že tu MAC pošle Android protože se snaží o machine authentication místo user authentication (?!)
pokud mi ten Android automaticky podbidne formular, kde je k vyplneni jmeno a heslo a presto namisto toho posle MAC, tak je to v tom androidu neco spatne at je nekde pokrocile nastaveni nebo ne, ale diky za tip, zkusim se na to pokrocile nastaveni podivat.

Myslím si, že to tak být nemusí. Např. pokud server poskytuje více způsobů autentikace a klient nepreferuje autentikaci, tak je otázka, kterou si klient se serverem domluví... Ale necítím se v tom být příliš kovaný...
Název: Re:FreeRadius - Android autentizace
Přispěvatel: ZAJDAN 18. 01. 2017, 16:20:32
zkusil jsem několik jiných telefonů a všechny v pořádku. Problem působý pouze jeden:

GALAXY J5 2016
ANDROID 6.0.1
core: 3.10.49-8417628

v pokročilem nastavení není nic čím bych mohl měnit připojeni EAP
při kliknutí na vybranou síť se podbídne korektní formulář (Metoda EAP, Phase2, Certifikat, Identita, Heslo)...vše vyplním jako na jiných zařízeních, ale přesto je namísto username/Identita předáno MAC adresa
Název: Re:FreeRadius - Android autentizace
Přispěvatel: ByCzech 18. 01. 2017, 19:54:05
zkusil jsem několik jiných telefonů a všechny v pořádku. Problem působý pouze jeden:

GALAXY J5 2016
ANDROID 6.0.1
core: 3.10.49-8417628

v pokročilem nastavení není nic čím bych mohl měnit připojeni EAP
při kliknutí na vybranou síť se podbídne korektní formulář (Metoda EAP, Phase2, Certifikat, Identita, Heslo)...vše vyplním jako na jiných zařízeních, ale přesto je namísto username/Identita předáno MAC adresa

Já mám právě Metoda EAP, Phase2, Certifikát v pokročilých nastaveních na tom formuláři, asi jiná verze Androida, tak dialog vypadá různě. Tak to zařízení reklamuje :-)
Název: Re:FreeRadius - Android autentizace
Přispěvatel: ZAJDAN 19. 01. 2017, 15:38:37
našel jsem příčinu...
Router(NAS) měl zapnutou fičuru MAC Autentification + MAC Mode: as username and password
to způsobylo, že namisto username byla dosazena MAC adresa
Teď mi ale nejde do hlavy, proč se drtivá většina Androidich zařizení prošla přes tuto fičuru tak, že jako username bylo dosazeno skutečné username zadané do formuláře na telefonu.

Jednoduše řečeno ta fičura na Routeru(NAS) naformatuje request tak, že jako username bude dosazena MAC a jako password take MAC
Proč ale 3 androidím zařízením byl request naformátován se skutečným username a MAC adresa jako username bylo Routerem naformatovano pouze 1mu ze 4 Androidů ?...