LISTSERV mailing list manager LISTSERV 15.5

Help for WLAN Archives


WLAN Archives

WLAN Archives


View:

Next Message | Previous Message
Next in Topic | Previous in Topic
Next by Same Author | Previous by Same Author
Chronologically | Most Recent First
Proportional Font | Monospaced Font

Options:

Join or Leave WLAN
Reply | Post New Message
Search Archives


Subject: SV: [WLAN] EAP-TLS
From: Anders Nilsson <[log in to unmask]>
Reply-To:WLAN forum in SUNET <[log in to unmask]>
Date:Fri, 15 Mar 2019 17:06:47 +0000
Content-Type:text/plain
Parts/Attachments:
Parts/Attachments

text/plain (66 lines)


Nja, jag tycker att det överlag funkar riktigt bra. Det är bara i ett få antal undantagsfall det inte lirat och vi här på UMU har ju kört eduroam med EAP-TLS sedan 2006.
Körde nyligen eduroam på ASU i Phoenix AZ utan problem. 
Däremot kommer jag inte ihåg om  SMHI-folket inte tweakat sin ISE server så att den följer eduroam standard.
Den vanliga policyn tittar efter ett attribut som inte är "mandatoty" (NAS-Port-Type) en sak vi upptäckte när SUNET dagarna var på KTH för ett par år sedan.

Personligen väljer jag EAP-TLS 7 dagar i veckan istället för PEAP-MSchap.  ;)

Mvh
Herr Nilsson

> -----Ursprungligt meddelande-----
> Från: WLAN forum in SUNET [mailto:[log in to unmask]] För Jonatan
> Hazell
> Skickat: den 15 mars 2019 17:57
> Till: [log in to unmask]
> Ämne: Re: [WLAN] EAP-TLS
> 
> Tack för input. Hm, det låter inte så lovande.
> Vi förlitar oss helt på eduroam för samtliga våra användare så vi lär väl köra
> ordentliga tester innan. Vi kommer ersätta våra FreeRadius med Cisco ISE innan
> ett ev. EAP-TLS införande. Onboardingen tror jag vi kan lösa bra med SecureW2
> som vi redan betalar för.
> 
> Är det fler som använder EAP-TLS som kan verifiera nedanstående problem,
> framförallt gällande problem när man vistas på andra lärosäten/utomlands?
> 
> ...ordentliga tester måste ju föresten innebära att vi får resa jorden runt å
> prova...... :)
> 
> 
> Mvh,
> Jonatan
> 
> -----Original Message-----
> From: WLAN forum in SUNET [mailto:[log in to unmask]] On Behalf Of Eric
> Söderman
> Sent: den 15 mars 2019 12:34
> To: [log in to unmask]
> Subject: [WLAN] EAP-TLS
> 
> On 15/03/2019 11:40, Jonatan Hazell wrote
> 
> > Apropå det, jag tar tacksamt mot tips på best practices och tänkvärdheter
> kring införandet av EAP-TLS.
> > Hur man kan lösa administrationen kring certifikaten på ett bra sätt t.ex.
> 
> Vi på SMHI använder det. För våra managerade Windows så använder vi våra
> smarta kort med cert, men på våra managerade Linux lyckades vi inte få igång
> det, utan där så har vi en annan CA som utfärdar cert på fil.
> Samma CA används via Cisco ISE för att registrera plattor/mobiler/annat via
> BYOD-portal.
> 
> Det är lite problematiskt har vi har märkt att det inte fungerar överallt. Om det
> är MTU-problem eller lastbalanserade radius-servrar som orsakar det vet jag
> inte. I t.ex. Finland fungerade det inte alls för oss och i Norge som jag var i
> veckan så fungerade det bra på de enheter som har cert på fil medan en
> Windows-burk fick "ise supplicant stopped responding" i ISE-loggen.
> 
> Vi hade även problem med ISE när nya Android 9 Pie kom, att den inte lyckades
> konfa enheten och skicka ut certen. Då fick de med ny telefon vara utan
> eduroam ett tag tills Cisco fixat det.
> 
> Känns som vi har en del extraproblem som de som använder PEAP med
> användarnamn/lösenord slipper.
> 
> mvh/Eric

Back to: Top of Message | Previous Page | Main WLAN Page

Permalink



SEGATE.SUNET.SE

CataList Email List Search Powered by the LISTSERV Email List Manager