[stillgelegt] debian freeradius MSCHAP-V2 & Android 11 Authentication

[joe2017]

Hallo zusammen,

sein neuem kann ich mich in Android 11 nicht mehr mit meinem WLAN (Radius Server) verbinden.
Wir haben hier nach wie vor eine MSCHAP-V2 Verbindung mit User/Passwort/MAC Authentication.

Ich habe mittlerweile herausgefunden, dass Android 11 die Einstellung "Zertifikat nicht validieren" nicht mehr unterstützt.
In meinem FreeRadius Server habe ich in der Datei /etc/freeradius/3.0/mods-enabled/eap die Zertifikate von meiner eigenen Zertifizierungsstelle hinterlegt.

Code: Alles auswählen

privat_key_file
certificate_file
ca_file

Ich habe gelesen, dass ich das Zertifikat des Herausgebers meiner Radius Server Zertifikate in meinem Android Device installieren muss.
Leider wird mein Zertifikat (ca_file) in Android nicht installiert. Ich erhalte auch keine Fehlermeldung hierzu.

Hat jemand eine Idee welche Möglichkeiten ich noch habe?

[joe2017]

Also mein Zertifikat habe ich jetzt in Android installiert bekommen.
Jedoch bekomme ich immer noch keine WLAN Verbindung.

[joe2017]

Ich habe jetzt noch das Log erweitert und erhalte folgende Fehlermeldung.

Code: Alles auswählen

ERROR: (200) eap_peap: ERROR: TLS Alert read:fatal:unknown CA

Ich habe auf meinem Client lediglich das CA File importiert.

[joe2017]

Anbei ein Auszug aus dem Log.

Code: Alles auswählen

eap: Peer sent EAP Response (code 2) ID 161 length 13
Debug: (222) eap: Continuing tunnel setup
Debug: (222)     modsingle[authorize]: returned from eap (rlm_eap)
Debug: (222)     [eap] = ok
Debug: (222)   } # authorize = ok
Debug: (222) Found Auth-Type = eap
Debug: (222) # Executing group from file /etc/freeradius/3.0/sites-enabled/default
Debug: (222)   authenticate {
Debug: (222)     modsingle[authenticate]: calling eap (rlm_eap)
Debug: (222) eap: Expiring EAP session with state 0xde68cac7dac9df2b
Debug: (222) eap: Finished EAP session with state 0xde68cac7dac9df2b
Debug: (222) eap: Previous EAP request found for state 0xde68cac7dac9df2b, released from the list
Debug: (222) eap: Peer sent packet with method EAP TTLS (21)
Debug: (222) eap: Calling submodule eap_ttls to process data
Debug: (222) eap_ttls: Authenticate
Debug: (222) eap_ttls: Continuing EAP-TLS
Debug: (222) eap_ttls: Peer sent flags ---
Debug: (222) eap_ttls: [eaptls verify] = ok
Debug: (222) eap_ttls: Done initial handshake
Debug: (222) eap_ttls: <<< recv TLS 1.2  [length 0002]
ERROR: (222) eap_ttls: TLS Alert read:fatal:unknown CA
Debug: (222) eap_ttls: TLS_accept: Need to read more data: error
ERROR: (222) eap_ttls: Failed in __FUNCTION__ (SSL_read): ../ssl/record/rec_layer_s3.c[1543]:error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca
Debug: (222) eap_ttls: TLS - In Handshake Phase
Debug: (222) eap_ttls: TLS - Application data.
ERROR: (222) eap_ttls: TLS failed during operation
ERROR: (222) eap_ttls: [eaptls process] = fail
ERROR: (222) eap: Failed continuing EAP TTLS (21) session.  EAP sub-module failed

[joe2017]

Ich habe das letzte Log noch mal angepasst.

Ich habe mittlerweite auch noch mal einen cleanen Debian Server mit freeradius installiert und die interne CA vom Radius Server verwendet.
Ich habe das CA und Server Zertifikat erstellt und in der /mods-enabled/eap hinterlegt.

Code: Alles auswählen

private_key_password = *****
private_key_file = /etc/freeradius/3.0/certs/server.key
certificate_file = /etc/freeradius/3.0/certs/server.pem
ca_file = /etc/freeradius/3.0/certs/ca.pem

Auf dem Android 11 Client habe ich das CA Zertifikat über "Einstallungen/Sicherheit/Verschlüsselung und Anmeldedaten/Von Speicher installieren" installiert.
Leider erhalte ich noch immer die obige Fehlermeldung.

[mludwig]

Hast du auf dem Client noch den Namen angegeben, der im Zertifikat stehen muss? Heist bei Android wohl "Domain", im Zertifikat der "Common Name" bzw. CN.

[joe2017]

Ja auch das habe ich getestet. Leider kommt immer noch diese Fehlermeldung.