Domain angeben bei Android 11 unifi Enterprise WPA2

Hallo zusammen,

… ein Kollege hat sich in den Ferien ein neues Handy gekauft … mit Android 11 vorinstalliert.
Jetzt wollte er, wie immer, in der Schule „mal schnell“ ins WLAN … geht aber nciht: das Android besteht beim Einloggen auf die Angabe einer Domain.
Diese heißt bei uns
bzpf.lan
und wie gebe ich das da ein?
In LDAP Notation (das wäre doch ein Totschläger: DC=bzpf,DC=lan)
Normale Eingabe hab ich probiert: hat nicht geklappt.

Wir verwenden den auf dem server installierten freeradius als auth für die unifi Clients … seit 2 Jahren ohne Probleme.

LG

Holger

Hallo Holger,

was du da eingeben musst hängt vom Zertifikat ab, das du im Freeradius verwendest. Ich habe auf dem Server ein selfsigned-openssl-Zertifikat für die Domain: wifi.meineschule.lan erzeugt und dem Freeradius unter …/modes-enabled/eap untergeschoben. Beim Verbinden mit dem Wifi muss dann die o.g. Domain angegeben werden. Wichtig ist noch, dass die Leute bei der ersten Verwendung unter dem dann erscheinenden Punkt „Online-Zertifikatsstatus“ „Nicht prüfen“ auswählen…ansonsten müssten sie erst das CA-Zertifikat importieren und das will ich vermeiden…ist schon so recht komplex. Für die anderen Systeme (ungleich Android) hat das keine Auswirkungen bei der Anmeldung, es kommt halt die Warnung, dass sich das Zertifikat geändert hat.
Eine step-by-step Anleitung habe ich leider nicht, weil das vor einem Jahr mal ganz schnell nebenher gehen musste. Der o.g. Weg bringts aber.

LG Dominik

Hallo Dominik,

tausend Dank: damit kann ich es vielelicht schaffen.
Jetzt weiß ich, dass er die Domain des Zertifikats will, nicht die des Samba (aus dem die authentifizierung stammt).
Da war ich falsch gewickelt.

Kannst du mir noch was zum Format sagen?

https://meinedomain.lan
oder
meinedomain.lan
?

Der Haken bei „nicht verifizieren“ (oder so) ist natürlich drin…

LG

Holger

Hi Holger,

…da muss meinedomain.lan rein.

LG Dominik

1 Like

Hallo zusammen,

ich habe das selbe Problem wie Holger.
Könnte mir das jemand bitte etwas ausführlicher erklären, bei dem es funktioniert?

Kann ich dafür auch das Server-Zertifikat nehmen? Oder muss das ein neu erstelltes Zertifikat sein?

LG Daniel

Hallo miteinander,

durch diesen Thread bin ich erst darauf gekommen, dass das bei uns auch nicht mehr funktioniert (LMN6.2 und freeradius auf dem Server).
Ich habe das Wildcard Zertifikat unserer Domäne (*.pg-bs.de) in der Datei eap.conf im Konfigurationsverzeichnis von freeradius an den entsprechenden Stellen (privkey.pem, cert.pem und chain.pem) eingetragen und freeradius neu gestartet … und die Anmeldung mit der Internetdomain (pg-bs.de) hat geklappt.
VG
Christian

Hallo zusammen,

ich habe versucht die Zertifikatfiles von /etc/linuxmuster/ssl/… zu kopieren und in die @eap-Datei vom freeradius einzufügen und anzupassen.
Das sieht dann folgendermaßen aus: (die auskommentierten Zeilen sind relevant)



Mit diesen Einstellungen (meine neuen Verzeichnisse nicht auskommentiert) den Radius neu gestartet (er läuft auf dem server) und dann mit den Domänen linuxmuster.lan und server.linuxmuster.lan probiert, geht aber beides nicht.

Brauche ich ein separates Zertifikat? Wo ist mein Denkfehler???

LG Daniel

Hallo Daniel,

das sind die snakeoil Zertifikate, von denen ich nicht weiß, welche Domain bzw. ob sie eine Domain haben. Ich schätze, hier muss man echte Zertifikate z.B. von LetsEncrypt hinterlegen.
LG
Christian

Hallo zusammen,

man braucht für den RADIUS keine LE. Es wird auch ausdrücklich empfohlen, für Radius keine öffentlichen Zertifikate zu nehmen.

In der neuesten Android 11 Version musste ich für die RADIUS Konfiguration für PEAP-MSCHAPv2 sogar die CA importieren, mit der das RADIUS-Server-Zertifikat erstellt wurde. Sonst schlägt die Anmeldung am RADIUS mit dem Fehler „unknown CA“ fehlt. Man hat die vorher mögliche Funktion „nicht prüfen“ quasi vollständig deaktiviert.

Viele Grüße
Thomas

Hallo Thomas,

Wie geht das? Was muss ich da machen?

Ich habe inzwischen versucht mit openssl ein selbstsiginiertes Zertifikat für radius.linuxmuster.lan zu erstellen und key- und crt-file dem Radius unterzujubeln. Nachdem ich Rechte und Besitzer der key-Datei angepasst habe, ist damit der Radius neu gestartet. Anmeldung mit dem Handy und der Domain radius.linuxmuster.lan klappt aber weiterhin nicht :(.
VG Daniel

Hallo Daniel,

wie man die CA importiert, steht hier beschrieben. Zertifikate hinzufügen und entfernen - Pixel-Hilfe

Welche CA du importieren musst, hängt davon ab, welche Zertifizierungsstelle das Zertifikat für den RADIUS-Server erstellt hat. Läuft dein RADIUS auf dem lmn7-Server, liegt das Zertifikate vermutlich unter /etc/linuxmuster/ssl. Mit openssl x509 -in /etc/linuxmuster/ssl/cacert.crt -text -noout kannst du das Zertifikat prüfen.

Wie bekommt man das aufs Smartphone? z.B. in die Nextcloud hochladen und dann mit dem Handy abrufen und entsprechend Anleitung importieren.

Viele Grüße
Thomas

PS: Zum Troubleshooten den freeradius-Dienst mit systemctl stop freeradius.service anhalten und mit freeradius -X starten. Dann siehst du die detaillierte Ausgabe mit allen Fehlern.

Hallo Thomas,

danke für deine Tipps. Jetzt läuft es :slight_smile:

Ich habe in der Radiusdatei „eap-conf“ private_key_file=…/server.key.pem und certificate_file=…/server.cert.pem und ca_file=…/cacert.crt.

Auf Leserechte für ssl-cert (chmod 640 oder 644) für die Key-Datei achten. Danach Radius neustarten.

Die cacert.crt auf dem Handy importiert und installiert und dann klappt die Anmeldung mit der Domäne linuxmuster.lan.

VG Daniel

PS: Natürlich bin ich auf lmn7 :wink: