FreeRadius - Android autentizace

ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
FreeRadius - Android autentizace
« kdy: 17. 01. 2017, 13:24:14 »
Ahoj,
mam na stole dva androidi telefony. Z jednoho se bez problemu prihlasim a autentizace pres FreeRadius probehne korektne.
Druhý telefon se ale neautentizuje. Zjistil jsem, že i přesto že je v telefonu při připojování zadáno jmeno uživatele/identita, tak na router pošle namísto user-name svou MAC. Router má v logu:
12:54:45 radius,debug,packet     User-Name = "00:01:02:03:04:05"
radius server ma v logu:
Tue Jan 17 11:52:30 2017 : Auth: Login incorrect: [00:01:02:03:04:05/00:01:02:03:04:05]

netušíte co s tím?

díky
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.


samalama

Re:FreeRadius - Android autentizace
« Odpověď #1 kdy: 17. 01. 2017, 16:24:39 »
hmm nie...

ByCzech

  • *****
  • 1 848
    • Zobrazit profil
    • E-mail
Re:FreeRadius - Android autentizace
« Odpověď #2 kdy: 18. 01. 2017, 04:00:34 »
Co takhle zkusit v konfiguraci sítě v Androidu pokročilé možnosti a pohrát si s hodnotami "Metoda EAP" a "Ověření Phase 2"?
Tipuji, že tu MAC pošle Android protože se snaží o machine authentication místo user authentication (?!)

ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
Re:FreeRadius - Android autentizace
« Odpověď #3 kdy: 18. 01. 2017, 08:25:42 »
Co takhle zkusit v konfiguraci sítě v Androidu pokročilé možnosti a pohrát si s hodnotami "Metoda EAP" a "Ověření Phase 2"?
Tipuji, že tu MAC pošle Android protože se snaží o machine authentication místo user authentication (?!)
pokud mi ten Android automaticky podbidne formular, kde je k vyplneni jmeno a heslo a presto namisto toho posle MAC, tak je to v tom androidu neco spatne at je nekde pokrocile nastaveni nebo ne, ale diky za tip, zkusim se na to pokrocile nastaveni podivat.
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

ByCzech

  • *****
  • 1 848
    • Zobrazit profil
    • E-mail
Re:FreeRadius - Android autentizace
« Odpověď #4 kdy: 18. 01. 2017, 08:33:47 »
Co takhle zkusit v konfiguraci sítě v Androidu pokročilé možnosti a pohrát si s hodnotami "Metoda EAP" a "Ověření Phase 2"?
Tipuji, že tu MAC pošle Android protože se snaží o machine authentication místo user authentication (?!)
pokud mi ten Android automaticky podbidne formular, kde je k vyplneni jmeno a heslo a presto namisto toho posle MAC, tak je to v tom androidu neco spatne at je nekde pokrocile nastaveni nebo ne, ale diky za tip, zkusim se na to pokrocile nastaveni podivat.

Myslím si, že to tak být nemusí. Např. pokud server poskytuje více způsobů autentikace a klient nepreferuje autentikaci, tak je otázka, kterou si klient se serverem domluví... Ale necítím se v tom být příliš kovaný...


ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
Re:FreeRadius - Android autentizace
« Odpověď #5 kdy: 18. 01. 2017, 16:20:32 »
zkusil jsem několik jiných telefonů a všechny v pořádku. Problem působý pouze jeden:

GALAXY J5 2016
ANDROID 6.0.1
core: 3.10.49-8417628

v pokročilem nastavení není nic čím bych mohl měnit připojeni EAP
při kliknutí na vybranou síť se podbídne korektní formulář (Metoda EAP, Phase2, Certifikat, Identita, Heslo)...vše vyplním jako na jiných zařízeních, ale přesto je namísto username/Identita předáno MAC adresa
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

ByCzech

  • *****
  • 1 848
    • Zobrazit profil
    • E-mail
Re:FreeRadius - Android autentizace
« Odpověď #6 kdy: 18. 01. 2017, 19:54:05 »
zkusil jsem několik jiných telefonů a všechny v pořádku. Problem působý pouze jeden:

GALAXY J5 2016
ANDROID 6.0.1
core: 3.10.49-8417628

v pokročilem nastavení není nic čím bych mohl měnit připojeni EAP
při kliknutí na vybranou síť se podbídne korektní formulář (Metoda EAP, Phase2, Certifikat, Identita, Heslo)...vše vyplním jako na jiných zařízeních, ale přesto je namísto username/Identita předáno MAC adresa

Já mám právě Metoda EAP, Phase2, Certifikát v pokročilých nastaveních na tom formuláři, asi jiná verze Androida, tak dialog vypadá různě. Tak to zařízení reklamuje :-)

ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
Re:FreeRadius - Android autentizace
« Odpověď #7 kdy: 19. 01. 2017, 15:38:37 »
našel jsem příčinu...
Router(NAS) měl zapnutou fičuru MAC Autentification + MAC Mode: as username and password
to způsobylo, že namisto username byla dosazena MAC adresa
Teď mi ale nejde do hlavy, proč se drtivá většina Androidich zařizení prošla přes tuto fičuru tak, že jako username bylo dosazeno skutečné username zadané do formuláře na telefonu.

Jednoduše řečeno ta fičura na Routeru(NAS) naformatuje request tak, že jako username bude dosazena MAC a jako password take MAC
Proč ale 3 androidím zařízením byl request naformátován se skutečným username a MAC adresa jako username bylo Routerem naformatovano pouze 1mu ze 4 Androidů ?...
« Poslední změna: 19. 01. 2017, 15:44:27 od ZAJDAN »
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.