企业级 Wi-Fi 搭建起来有点小复杂,我们知道自己家使用的 Wi-Fi 非常简单,几乎只需要配置一下热点的 SSID 和密码就可以了,实际上这是两种 Wi-Fi 认证类型。想要快速部署企业级 Wi-Fi 验证环境,首先要理解企业级 Wi-Fi 部署的一些核心组件以及相应的协议。
一、Wi-Fi 认识
Wi-Fi(发音:/ˈwaɪfaɪ/,法语发音:/wifi/),在中文里又称作“行动热点”,是 Wi-Fi 联盟制造商的商标做为产品的品牌认证,是一个创建于 IEEE 802.11 标准的无线局域网技术。基于两套系统的密切相关,也常有人把 Wi-Fi 当做 IEEE 802.11 标准的同义术语。“Wi-Fi”常被写成“WiFi”或“Wifi”,但是它们并没有被 Wi-Fi 联盟认可。
无线路由器一般都提供了三种无线安全类型:WPA-PSK/WPA2-PSK、WPA/WPA2 和 WEP。不一样的安全类型下,安全设置是不一样的。
1. WEP
WEP(Wired Equivalent Privacy,有线等效保密)。单从名字上看,WEP 似乎是一个针对有线网络的安全加密协议,其实并非如此。WEP 标准在无线网络出现的早期就已创建,它是无线局域网 WLAN 的必要的安全防护层。目前常见的是 64 位 WEP 加密和 128 位 WEP 加密。
WEP 安全技术源自于名为 RC4 的 RSA 数据加密技术,在无线网络中传输的数据是使用一个随机产生的密钥来加密的。但 WEP 用来产生这些密钥的算法很快就被发现具有可预测性,对于入侵者来说,他们可以很容易的截取和破解这些密钥,让用户的无线安全防护形同虚设。
由于 WEP 的安全性较低,IEEE 802.11 组织开始制定新的安全标准,也就是 802.11i 协议。但由于新标准从制定到发布需要较长的周期,而且用户也不会仅为了网络的安全性就放弃原来的无线设备,所以无线产业联盟在新标准推出之前,又在 802.11i 草案的基础上制定了 WPA(Wi-Fi Procted Access)无线加密协议。
WPA 使用 TKIP(Temporal Key Integrity Protocol,临时密钥完整性协议),它的加密算法依然是 WEP 中使用的 RC4 加密算法,所以不需要修改原有的无线设备硬件。WPA 针对 WEP 存在的缺陷,例如 IV 过短、密钥管理过于简单、对消息完整性没有有效的保护等问题,通过软件升级的方式来提高无线网络的安全性。
2. WPA/WPA2
WPA(Wi-Fi protected Access), 有 WPA 和 WPA2 2 个标准,是一种保护无线电脑网络安全的系统,它是应研究者在前一代的系统有线等效加密(WEP)中找到的几个严重的弱点而产生的。
WPA 技术定义了强健的密钥生成/管理系统,它结合了认证和数据私密功能,在工作站和 AP 之间成功的认证和通过 4 步握手后,密钥产生了,临时密钥完整性协议是使用包装在 WEP 上的动态加密算法和安全技术来克服它的缺点,数据完整性,在每一个明文消息末端都包含了一个信息完整性编码,来确保信息不会被欺骗。
WPA/WPA2 是一种比 WEP 强壮的加密算法,挑选这种安全类型,路由器将选用 Radius 服务器进行身份认证并得到密钥的 WPA 或 WPA2 安全形式。
WPA2 是 WiFi 联盟验证过的 IEEE 802.11i 标准的认证形式,WPA2 实现了 802.11i 的强制性元素,特别是 Michael 算法被公认彻底安全的 CCMP (计数器模式密码块链消息完整码协议)讯息认证码所取代、而 RC4 加密算法也被 AES 所取代。
在 WPA/WPA2 中,PTK 的生成是依赖于 PMK 的,而 PMK 的方式有两种,一种是 PSK 方式,也就是预共享密钥模式(pre-shared key,PSK,又称为个人模式),在这种方式中 PMK = PSK ;而另一种方式则需要认证服务器和站点进行协商来产生 PMK。下面我们通过公式来看看 WPA 和 WPA2 的区别:
WPA = IEEE 802.11i draft 3 = IEEE 802.1X/EAP + WEP(选择性项目)/TKIP
WPA2 = IEEE 802.11i = IEEE 802.1X/EAP + WEP(选择性项目)/TKIP/CCMP
3. WPA-PSK/WPA2-PSK
WPA-PSK/WPA2-PSK 安全类型其实是 WPA/WPA2 的一种简化版别,它是依据同享密钥的 WPA 形式,安全性很高,设置也对比简单,适合普通家庭用户和小型企业运用。
二、EAP
可扩展身份认证协议(Extensible Authentication Portocol,EAP)最早定义在 RFC2284 中,是一种支持多种认证方法的认证框架,而不是一个认证机制。EAP 最初被设计用于 PPP,后来被 RFC 3748 更新,用于基于端口的 802.1X 访问控制,最后又被 RFC 5247 所更新。
EAP 是一种非常灵活的二层协议,包括多种类型。有些 EAP 类型是产商私有的,有些 EAP 类型是标准的,如 LEAP 是 Cisco 私有的,PEAP 是公有的标准。有些 EAP 仅能提供单向认证,而有些 EAP 可提供双向认证(mutual authenticaiton)。在双向认证中,不仅认证服务器需要对请求方的身份进行认证,请求方也必须对认证服务器的身份进行认证,以防止自己提供的用户名和密码被非法或假冒的认证服务器窃取。大部分要求双向认证的 EAP 采用服务器证书对认证服务器的身份进行验证。
下图显示了 EAP 框架的各个组件。
认证者(Authenticator)是门卫,它控制谁可以访问网络和谁应该被拒绝。
请求者(Supplicant)是客户端机器用于身份验证的一个软件。在身份验证成功身份验证器授予客户端对网络的访问权。
后端身份验证服务器(Backend authentication server)虽然身份验证器控制对网络的访问,但它是后端身份验证决定谁将被授予或拒绝访问网络的服务器。该服务器将通常是 RADIUS 服务器,尽管 EAP 标准没有将其限制为仅为 RADIUS。
1. “弱” EAP 协议
传统的 EAP 类型极容易受到各种攻击,包括社会工程学和离线字典的攻击。这些传统的 EAP 类型是企业 WLAN 绝对不可能接受的解决方案,包括 EAP-MD5 和 EAP-LEAP。
1.1 EAP-MD5
EAP-MD5 是一种相当简单的 EAP 类型,很长一段时间在有线网络中用于端口认证,因此也成为第一个用于 WLAN 中的 EAP 类型。然而,由于 EAP-MD5 的存在几大缺点,因此在企业 WLAN 环境中不建议 EAP-MD5,这几大缺点是:
单向认证:只有请求方被认证,服务器不需要被认证。相互认证需要创建动态加密密钥,如果选择 EAP-MD5 为身份验证方法,则加密方法只能是静态 WEP,或根本没有加密;
用户名明文:请求方的用户名总是明文可见,如果黑客知道用户的身份,黑客可以尝试使用社会工程学技术获取到密码。因此,EAP-MD5 很容易受到社会工程学攻击;
弱 MD5 哈希:请求方的密码使用 MD5 哈希功能,但其很容易受到各种黑客工具所破解。因此,EAP-MD5 极容易受到离线字典攻击。
1.2 EAP-LEAP
EAP-LEAP 也被简称为 LEAP(Lightweight Extensible Authentication Protocol, 轻量级可扩展身份认证协议),是多年来被企业 WLAN 使用的一个非常成功的 EAP 类型。LEAP 很容易部署,所有终端用户可使用相同的身份凭证:用户名和密码。
与 EAP-MD5 不同,LEAP 使用动态生成的 WEP 密钥对数据传输进行加密,并执行一种类型的伪双向认证,尽管许多文档声称 LEAP 支持双向认证。MS-CHAP 和 MS-CHAPv2 在双向认证的过程中使用相同的密码进行哈希以认证对方,但这不是真正的双向认证。LEAP 有以下几大缺点:
用户名明文:请求方的用户名总是明文可见,如果黑客知道用户的身份,黑客可以尝试使用社会工程学技术获取到密码。因此,很容易受到社会工程学攻击;
弱 MS-CHAPv2 哈希:请求方的密码使用 MS-CHAPv2 哈希功能,但其很容易受到各种黑客工具所破解;
伪双向认证:LEAP 使用 MS-CHAPv2 协议支持一种“类型”的双向认证。
尽管 LEAP 可以使用强大和复杂的密码抵御攻击,但强制终端用户使用强大的密码策略是一个挑战。为了企业 WLAN 的安全,不建议在企业 WLAN 中部署使用 LEAP。
2. “强” EAP 协议
“强” EAP 类型使用基于 TLS 的身份认证或 TLS 隧道化身份认证,与 EAP-MD5/EAP-LEAP 只使用一个请求方身份不同,基于隧道身份验证的 EAP 类型使用两个请求方身份:外层身份(outer identity)和内层身份(inner identity)。外层身份只是一个有效的虚假用户名(通常为 anonymous),而内层身份是请求方的真实身份。外层身份以明文出现在加密 TLS 隧道外,而内层身份被 TLS 隧道所保护。
注意:所有的请求方都有能力配置外层身份的虚假用户名,除了 Microsoft WZC 请求方。WZC 请求认证时内层和外层身份都使用相同的用户名。因此,真正的用户名可见,这是为什么建议不是用 Microsoft 内置的 WZC 请求方。
2.1 EAP-PEAP
EAP-PEAP 简称为 PEAP(Protected Extensible Authentication Protocol,受保护的可扩展身份验证协议),其创建一个加密的 TLS 隧道,并在该 TLS 隧道内验证请求方内层身份。由于 PEAP 的高安全性,因此,PEAP 是企业 WLAN 中最常用也是使用最广泛的的 EAP 类型。
PEAP 最开始由 Csico、Microsoft、RSA、Security 公司所联合提议,但是据报道 Microsoft 和 Cisco 没有完全同意提议的每一个细节。Microsoft 实施 PEAPv0 使用 MS-CHAPv2 作为内部认证方法,MS-CHAPv2 是 Microsoft 自由的 CHAP 版本,随着微软在客户端和服务器操作系统占有的统治地位,并内置支持 MS-CHAPv2,因此这也导致了 EA-PEAPv0(EAP-MSCHAPv2)的成功。而 Cisco 从原始的标准中分离出 PEAPv1,其使用 EAP-GTC 作为内部认证方法。PEAP 包括三个主要版本:
EAP-PEAPv0(EAP-MSCHAPv2)
微软的 EAP-PEAPv0 (EAP-MSCHAPv2)是最常用的一种 PEAP 类型,使用 EAP-MSCHAPv2 协议作为隧道内部的认证方法,其使用用户名和密码作为用户凭证。
EAP-PEAPv0(EAP-TLS)
EAP-PEAPv0(EAP-TLS)是微软的另一种类型的 PEAP,使用 EAP-TLS 协议作为隧道内部的认证方法,其使用客户端证书作为用户凭证。EAP-TLS 也可以作为一个单独的 EAP 认证协议使用。
EAP-PEAPv1(EAP-GTC)
EAP-PEAPv1(EAP-GTC)是 Cisco 版本的一种 PEAP 类型,使用EAP-GTC(EAP-GenericToken Card,通用令牌卡)协议作为隧道内部的认证方法。EAP-GTC 定义在 RFC3748 中,然后被发展成与现有的安全令牌系统提供互操作性,如 RSA 的 SecurID 解决方案的 OTP。EAP-GTC 方法建议使用安全令牌设备,但是其身份凭证也可以为明文的用户名和密码。因此,当 EAP-GTC 被用于 PEAPv1 的隧道中,通常其身份凭证是一个简单的明文用户名和密码。
由于在 TLS 隧道中使用的 PEAP 内部认证协议是另一种类型的 EAP,所以 PEAP 通常也被称为“EAP inside EAP”认证,唯一的区别就是使用在 TLS 隧道中的内部 EAP 协议不同。
PEAP 操作的关键点是建立 TLS 隧道,这需要一个服务器端证书(server-side certificate)。
2.2 EAP-TTLS
EAP-TTLS(EAP-Tunneled Transport Layer Security,隧道传输层安全)由 Certicom 和 FunkSoftware 设计,定义在 RFC 5281 中。与 PEAP 一样,EAP-TTLS 也使用 TLS 隧道保护相对不安全的内层认证方法。
EAP-TTLS 与 EAP-PEAP 的区别相当小,最大的不同就是 EAP-TTLS 支持更多的内层认证协议。EAP-TTLS 支持传统的认证方法 PAP、 CHAP、MS-CHAP 和 MS-CHAPv2,也支持使用 EAP 协议作为内层认证方法,支持使用客户端证书作为身份凭证,而 EAP-PEAP 只支持 EAP 协议作为内层认证方法。
EAP-TTLS 曾被广泛部署过,在许多企业 WLAN 中也能遇到。然而,EAP-TTLS 与 EAP-PEAP 几乎相同,且不被 Microsoft WZC 所支持。因此,相对其他的 EAP 协议类型来说市场较小。如果不使用 Microsoft WZC 作为请求方,EAP-TTLS 是可考虑的一种选择。
2.3 EAP-TLS
EAP-TLS(EAP-Transport Layer Security,传输层安全)定义在 RFC 5216 中,是使用最广泛,也是 WLAN 中最安全的一种 EAP 类型。EAP-TLS 除了与 EAP-PEAP 和 EAP-TTLS 一样需要服务器端证书外,还需要客户端证书。
部署服务器端证书并不需要太大的负担,然而为每一个客户端部署唯一的数字证书需要企业PKI基础设施,这对企业来说是一个负担。因此,除非企业已经存在PKI基础设施,否则在企业 WLAN 中部署 EAP-TLS 不是第一建议。
使用客户端数字证书作为身份凭证是 EAP-TTLS 和 EAP-PEAP 的可选项,然而在 TLS 隧道中使用客户端证书是不必要的。因此,只建议在部署 EAP-TLS 时使用客户端数字证书。认证服务器配置 EAP-TLS 时,通常允许通过比较用户数字证书中包含的一个或多个信息来验证客户端证书,这些信息包括:
- 证书持有者别名(Certificate Subject Alternative Name ,SAN)
- 证书持有者通用名称(Certificate Subject Common Name ,CN)
- 证书二进制(Certificate Binary)
2.4 EAP-FAST
EAP-FAST(EAP-Flexible Authentication via Secure Tunneling,基本安全隧道的灵活认证)由 Cisco 所开发设计,用于取代易破解的 LEAP。EAP-FAST 目前已经被标准化定义在 RFC 4851 中,并在 2009 年,与 EAP-AKA 一起加入到 Wi-Fi 联盟的 WPA2 互操作认证中。
EAP-FAST 与 EAP-PEAP 和 EAP-TTLS 一样,提供双向认证和隧道化认证。但是 EAP-FAST 并不使用基于 X.509 标准的数字证书去建立 TLS 隧道,而是使用 PAC(Protected Authentication Credential,受保护的接入凭证)。
PAC 是一种类数字证书,实际上是一个共享密钥,主要包含以下三部分:
- Shared Secret—The PAC-Key:客户端与认证服务器之间的一个预共享密钥,是一个强 32 字节的密钥,由认证服务器随机产生,是建立 TLS 隧道的先期主密钥;
- Opaque Element—The PAC-Opaque:在隧道建立时发送给认证服务的一个可变长度的数据元素,这样认证服务器就可以解码所需的信息来验证客户端的身份;
- Other Information—PAC-Info:是一个可变长度的数据元素,能够以最简洁方式的提供认证服务器或 PAC 发布者的身份(A-ID)。为了避免混绕,各个认证服务器的 A-ID 是不同的。PAC-Info 还可能包括其他的有用但非强制的信息,例如 PAC-Key 生存时间,也可能在 PAC 分发或更新时被服务器传递到申请者。
以上三个部分统一构成了一个完整的 PAC 证书,在 EAP-FAST 认证之前由认证服务器一次性产生并通过安全的方式送给申请者,完成 PAC 的发放。
EAP-FAST 的认证过程包含3个阶段,其中阶段1是一个可选的阶段。
- EAP-FAST 阶段0 —— 此阶段用于自动分发部署 PAC,是一个可选的阶段,所有的 PAC 可以通过手动方式安装在每个客户端上;
- EAP-FAST 阶段1 —— 客户端请求方发送外层伪装的身份 ID 给认证服务器,让认证服务器知道有客户端尝试认证。客户端和认证服务器之间使用对称密钥加密进行协商,建立起一个加密的 TLS 隧道;
- EAP-FAST 阶段2 —— 在加密隧道内进行客户端请求方的身份验证。EAP-FAST 支持多种内层认证方法,但通常使用的内层认证协议为 EAP-GTC,使用用户名和密码进行验证。
阶段0执行的自动分发部署 PAC 文件是使用一个匿名的 Diffie-Hellman 交换,客户端仅是简单的信任提供 PAC 文件的。因此,EAP-FAST 如果是使用自动分发部署 PAC 文件,很容易遭受到中间人攻击。如果不经过阶段0,则手动安装 PAC 文件到每个客户端上则是一件很繁重的任务,还不如使用已经被广泛部署过的 EAP-TLS 和 EAP-PEAP。
3. 其他 EAP 协议
除了以上介绍的 EAP 协议外,还有多种其它 EAP 协议的存在。如 EAP-POTP 协议,用于移动电话产业的 EAP-SIM 和 EAP-AKA 等。
三、RADIUS
RADIUS 是 Remote Access Dial In User Service 的缩写。RADIUS 是一个 AAA(Authentication, Authorization 和 Accounting)解决方案的一部分, 由 Livingston 企业发布到 Merit Neowrk 在1991年。 Merit Network 是一个非盈利互联网提供商, 需要一种创新的方式来管理通过他们的网络 dial-in access to various Points-Of-Presence (POPs)。
Livingston 企业提供的解决方案有一个中心用户存储用来 Authentication。这个可以被许多 RAS(Radio Access Station)(dial-in)服务器使用。 Authorization 和 Accounting 也可以在 AAA 满足的条件下完成。另外一个 Livingston 解决方案的关键方面是包括代理来支持扩展。
RADIUS 协议随后在 1997 年作为 RFC 发布,一些修改被提交,并且现在我们有了 RFC2865 涵盖了 RADIUS 协议,还有 RFC2866 涵盖了 RADIUS Accounting。也有许多额外的 RFC 涵盖某些 RADIUS 方面的增强。让 RFC 工作从任何个人或供应商到在他们的设备或软件上实现 RADIUS 协议。这个导致 RADIUS 的广泛采用来处理在 TCP/IP 网络上的 AAA。你将会发现术语 RADIUS 既表示 RADIUS 协议也表示完整的 RADIUS C/S 系统。含义应该根据上下文可以明确。
支持 RADIUS 协议和标准成为 NAS 供应商的事实标准需求. RADIUS 在广泛的地方被使用,从拥有百万级用户的蜂窝移动网络提供商到小的 WISP 创业公司提供 local neighborhood with Internet 到实现使用 802.1x 来围栏他们的网路的 NAC(Network Access Control)企业网络。RADIUS 在所有这些地方和更多的地方可以被发现。
ISP 和网络管理员们应该熟悉 RADIUS,由于他被许多控制访问 TCP/IP 网络的设备使用。下面是一些例子:
- 一个带有 VPN 服务器的防火墙可以使用 RADIUS;
- 带有 WPA-2 企业加密的 Wi-Fi AP 包含 RADIUS;
- 当 Alice 通过 DSL 连接一个现有的电信设施时, 电信设备将会使用 RADIUS 协议来联系 Isaac 的 RADIUS 服务器为了决定她是否可以通过 DSL(代理)获得网络访问权限。
FreeRADIUS
FreeRADIUS 是一个开源项目提供一个非常功能丰富的 RADIUS 协议的实现带有他的许多增强。当人们提到 FreeRADIUS 的时候,他们通常讨论服务器软件。
四、EAP-PEAPv0(EAP-MSCHAPv2)
EAP-MSCHAPv2 是一种双向相互认证的协议,认证过程是 challenge-response 式的。在认证过程中,服务器和客户端会进行双向验证,只要其中一方失败,则这个连接会被拒绝。
- 首先客户端给接入用户发送 Identity 报文,要求客户端提供身份标识;
- 接入用户给客户端回应 Identity 报文,内容是用户的身份标识,客户端对这个报文的处理是将之封装成 Radius 访问请求报文传给服务器;
- 服务器在获取到接入用户的接入标识后,会给客户端发送 Radius 访问挑战报文,客户端在收到这个报文后,对报文进行解封装,将报文中的 EAP-Request/EAP-MSCHAPv2(Challenge) 发送给接入用户,Challenge 报文中包含有服务器端产生的 Server-Challenge;
- 接入用户进行计算,发送 Response 报文给客户端,客户端在接收到该报文后,将该报文封装到 Access-Request 中传给服务器,Response 报文中包含用户产生的 Peer-Challenge 和根据用户密码、用户名、Peer-Challenge 和 Server-Challenge 为输入通过 MD4 和 DES 算法生成的 NT-Response;
- 服务器对接入用户进行验证,具体验证的方法是服务器端使用同样的算法以用户密码、用户名、Peer-Challenge 和 Server-Challenge 为输入计算出 NT-Response,如果和 Response 报文中 NT-Response 匹配,则认证成功。在认证成功的基础下,会给客户端发 Success-Request 报文,Success-Request 报文中含有以用户密码、用户名、Peer-Challenge、Server-Challenge 以及 NT-Response 为输入使用 MD4 算法和 DES 算法计算出来的 Message,客户端收到报文后,进行解封装,将报文中的 Success-Request 发送给接入用户,请求用户对服务器进行验证;
- 接入用户对服务器进行验证,具体验证的方法是用同样算法以用户密码,用户名、Peer-Challenge、Server-Challenge 以及 NT-Response 为输入计算出 Message,然后与 Success-Request 中的 Message 做匹配,如果匹配失败,则不再向服务器发送报文,如果匹配成功,则向客户端发送 EAP-Request/EAP-MSCHAPv2(Success-Response)报文,客户端收到后,将报文封装成 Access-Request 报文传给服务器;
- 服务器如果接收到 Success-Response 报文,则说明验证成功,接入用户收到的报文将是 EAP 成功报文,到此整个认证流程结束。
在第5步中,服务器对接入用户验证失败时,服务器可以发送
EAP MSCHAPv2(Failure-Request,R=1,E=691)来要求用户重新输入密码进行重试,然后又重新从第4步开始进行认证过程。
五、环境搭建及验证
1. 准备
服务端
- VMware Workstation 16 Player
- Ubuntu 16.04
- FreeRADIUS 2.2.8
AP
华硕路由器 RT-ACRH13
无线终端
手机 华为 Mate 30 Pro
2. FreeRADIUS 安装
当然将 FreeRADIUS 部署到物理实体机上没有问题,因为此处为了验证 EAP-PEAPv0(EAP-MSCHAPv2) 协议,采用虚拟机安装 FreeRADIUS 的方式来验证。
2.1 配置虚拟机网络
- 使用网线连接 PC 和路由器任意 LAN 口,物理上将 PC 和路由器连接到同一局域网内;
- 设置虚拟机网络适配器为桥接模式;
- 将 Ubuntu 16.04 网络配置到和 AP 同一网段,例如此处配置为 192.168.50.2。
2.2 FreeRADIUS 安装
如果 Ubuntu 16.04 没有添加 root 用户,先要添加。接着切换到 root 用户进行安装。
apt-get install freeradius
安装成功以后,使用以下命令查看版本。
freeradius -v
2.3 测试 FreeRADIUS
编辑 /etc/freeradius/users,添加:
testing Cleartext-Password := "password"
表示用户名是 testing,密码是 password。
启动 FreeRADIUS。
#> /etc/init.d/freeradius stop
#> freeradius -X
正常启动会看到输出 Ready to Process requests.
测试是否正常。另外打开一个终端输入下面的命令。
$ radtest testing password 127.0.0.1 0 testing123
如果你确实看到了 Access-Accept,那么恭喜,下面的身份验证方法现在可以用于测试用户:
PAP, CHAP, MS-CHAPv1, MS-CHAPv2, PEAP, EAP-TTLS, EAP-GTC, EAP-MD5
3. 验证 EAP-PEAPv0(EAP-MSCHAPv2)
3.1 配置 FreeRADIUS 与路由器
/etc/freeradius/clients.conf 下添加:
client new {
ipaddr = 192.168.50.1
secret = testing123
}
注意此处的 testing123 secret 要配置到路由器中。重启 FreeRADIUS。
#> /etc/init.d/freeradius stop
#> freeradius -X
打开路由器管理员页面。router.asus.com,无线网络->一般设置,将授权方式修改为 WPA2-Enterprise。
接着配置 RADIUS 设置。服务器 IP 地址修改为 192.168.50.2,联机密码设置为 testing123,保存应用设置。
3.2 验证
手机设置 WLAN 界面,点击“ASUS_E0_2G”,进入 EAP 配置页面,EAP 方法选择 PEAP,阶段 2 身份验证选 MSCHAPv2,CA 证书选择不验证,身份输入 testing,密码输入 password。然后进行连接。连接成功以后此 Wi-Fi 的详情如下:
参考资料:
3.wiki.freeradius.org/guide/Getti…
4.Dirk van der Walt 著 《FreeRADIUS Beginner’s Guide》
