У меня проблемы с получением нескольких устройств для установления соединения WiFi, когда они используют одни и те же данные аутентификации. Вот немного о моей настройке беспроводной сети:
- Одна точка доступа, использующая WPA2 Enterprise (802.1X) - Linksys WAP4400N (да, она довольно старая).
- Аутентификация 802.1X является PEAP, аутентификация 2-й фазы - EAP-MSCHAPv2 или сертификат.
- RADIUS-сервер - это сервер сетевой политики из Windows Server 2008 R2.
- Пользователи проходят аутентификацию в Active Directory, любой, кто активен в группе «Пользователи домена», может войти в систему.
- Беспроводные устройства включают Windows 7, два iPhone и два планшета Android. Не все они мои.
Проблема заключается в том, что если один и тот же пользователь (поскольку устройство принадлежит одному и тому же человеку) пытается выполнить проверку подлинности на двух устройствах одновременно, только первое устройство, прошедшее проверку подлинности, получит работающее соединение WiFi. Хотя последующие устройства будут утверждать, что аутентификация 802.1X прошла успешно (как отражено в журнале событий безопасности Windows), он всегда не сможет получить IP-адрес от DHCP.
Ни одно из устройств также не заявляет, что аутентификация 802.1X не удалась, они просто на некоторое время останавливаются на «получении IP-адреса», а затем обвиняют в плохой связи. Журнал событий безопасности Windows не показывает ошибок аутентификации. Установка статического IP-адреса не решает эту проблему; будет установлено, что соединение WiFi установлено, но данные не будут передаваться.
Мне интересно, виновата ли это точка доступа или не рекомендуется использовать способ аутентификации? На первый взгляд может показаться, что точка доступа недовольна двумя соискателями, использующими одинаковые учетные данные пользователя, но тогда у меня сложилось впечатление, что точка доступа не имеет права голоса в этом. Разве точка доступа (аутентификатор) не должна быть просто мостом между соискателем и сервером аутентификации?
Возможно, мне следует выдавать каждому устройству свой собственный сертификат, а затем использовать EAP-TLS или PEAP с сертификатами фазы 2. Я действительно не хочу создавать новых пользователей для каждого человека на отдельном устройстве WiFi, так как это противоречит цели пользователя, плюс MAC-адрес устройства полностью зарегистрирован, поэтому я не могу видеть, какие устройства аутентификация в любом случае.