Radius-Zertifikate werden bei Apple-Geräten nicht vertraut

Hallo zusammen,
ich habe, wie hier beschrieben, den Radius-Service auf dem LMN7-Server installiert. Läuft super

Da es gut wäre, wenn man ein selbstsigniertes Zertifikat benutzt, bin ich diese Anleitung durchgegangen.

Läuft super auf Android-Geräten. Man muss nur das CA-Zertifilat der CA von linuxmuster.lan auf das Android-Gerät hochladen und dann kann man sich wunderbar am WLAN anmelden.

Dazu habe ich die Datei /etc/linuxmuster/ssl/cacert.pem auf unsere Nextcloud gelegt und auf das Android-Gerät hochgeladen und installiert.
Und dann geht die Anmeldung am Netzwerk mit WPA2-Enterprise ohne Zertifikatswarnung. So sollte es sein.

• Bei meinem IPad lieft das so:
  cacert.pen von der Nextcloud laden.
  
  

  IMG_0142.PNG2160×1620 185 KB
  
  Das IPad fragt, ob wir die Konfiguration laden sollen.
• Dann geht man nach Einstellungen → Allgemein → VPN und Geräteverwaltung
  
  

  IMG_01432160×1620 205 KB
• LINUXMUSTER.NET anklicken
  
  

  IMG_01442160×1620 282 KB
  
  und auf Installieren tippen.
  *
  

  IMG_01452160×1620 317 KB
  
  Jetzt wird einem mitgeteilt, dass diesem Zertifikat nicht so einfach vertraut wird. Wir müssen es erst in den Zertifikatseinstellungen vertrauen.
• Das macht man, indem man unter Einstellungen → Info → Zertifikatseinstellungen den Schieberegler bei LINUXMUSTER.LAN auf Grün stellet.
  
  

  2022-06-06 10-25-55-02160×1620 256 KB

So, jetzt sollte alles funktionieren.

Ich melde mich im WLAN an und erhalte:

Dem Zertifikat wird nicht vertraut?!?

Hab ich was falsch gemacht? Kann mir jemand einen Tipp geben?

Mein Radius-Zertifikat ist 365 Tage gültig. Das CA-Zertifikat der LMN7 ist aber bis 15.03.2032 gültig. Kann es daran liegen?

Gruß,
Mathias

Hallo zusammen,

in der Zwischenzeit habe ich auch das Captive-Portal der OpnSense ausprobiert. Eigentlich auch ganz gut:

• Die hier beschriebenen Probleme mit den Zertifikaten hat man nicht
• Man kann über eine SSID eine Anmeldung (Captive-Portal halt), Voucher nutzen und Geräte zulassen, die nicht nach Benutzername und Passwort gefragt werden (Beamer oder Chrome-Casts …).

Was noch nicht läuft ist, dass das Gerät eines Schülers, der aus der wifi-Gruppe rausgenommen wurde, also wenn ein Kollege dem Schüler in der Schulkonsole das Internet sperrt, aus dem WLAN raus fliegt. Wer drin ist, ist drin. Der Schüler kann sich halt nicht neu anmelden.
Auf meinem Testsystem zickt mein IPad ein bisschen. Woran’s liegt weiß ich nicht.
Das Captive Portal der OpnSense ist auf jeden Fall eine Überlegung wert.

Und jetzt natürlich noch ein Kommentar zu den Apple-Geräten:
Auf der Apple-Supportseite steht:

• Bei Vertrauenswürdigen Zertifikaten wird nicht gefragt, sondern einfach verbunden.
• Dann gibt es Zertifikate vom Typ „Immer fragen“. Da wird immer gefragt, ob man ihm vertrauen möchte oder nicht.
• Und dann gibt es noch Zertifikate, die als gefährlich eingestuft werden. Die werden immer abgelehnt.

Da das Radius-Zertifikat von der linuxmuster.lan-CA signiert wurde und die nicht in der offiziellen Liste der vertrauenswürdigen ROOT-Zertifikate steht, gehe ich mal davon aus, dass unser server-Zertifikat (server.linuxmuster.lan) immer abgenickt werden muss.

Interessant ist, dass wenn ich das server-Zertifikat radius.pem auf dem IPad installiere, diesem Zertifikat voll vertraut wird. Ganz ohne mein Zutun:

Aber auch damit muss ich beim verbinden mit dem WLAN dieses Zertifikat abnicken.

Für mich ist das eine Sicherheitslücke. Der Benutzer wird dazu genötigt, Zertifikate abzunicken. Egal, ob das IPad ihnen vertraut oder nicht. Aber genau das will man ja verhindern?!?

Gruß,
Mathias

Hallo.
Das war aber schon „immer“ so! Auf dem guten alten Coova gab es dazu damals ein disconnect Script, das dann die aktiven Verbindungen der User auch wirklich getrennt hat. Erst dann waren sie wirklich draußen! (Unter UniFi habe ich sowas auch schon mal gesucht aber nicht mehr umgesetzt. Es wird bei uns mehr und mehr so sein, dass die Geräte einfach immer online sind — das trifft vor allem für die Tablets zu, die sonst ja auch gar nicht per MDM zu managen wären…)
Viele Grüße
Michael

Gerade wiedergefunden:

Hallo Michael,
danke für den Tip. Schau’ ich mir noch genauer an.
Gruß,
Mathias

Hallo zusammen,
heute habe ich etwas eigenartiges festgestellt:

• wird die ssid nicht gesendet (oder verborgen), so akzeptiert mein IPad das Zertifikat.
• Wir die ssid gesendet, so muss dem Zertifikat vertraut werden.
  Sieht in meinen Augen wie ein Bug aus, oder?

Gruß,
Mathias

Hallo Matthias,

das akzeptieren von Radius Zertifikaten von Android >11 und iOS > 13
Geräten haben wir schon ordentlich durchgekaut im Forum.

LG

Holger