问题[wpa](server)

我的系统日志被这些消息淹没：

wpa_supplicant[390]: RRM: Ignoring radio measurement request: Not RRM network

我进行了广泛的搜索；我什至在wpa_supplicant这里找到了来源：git clone git://w1.fi/hostap.git
但我不精通 C 语言，也不知道如何继续。谁能建议我如何抑制或避免这些消息或关闭此功能？

编辑：这是在 Raspbian（Raspberry Pi 的 Debian 风味）Buster 上，它具有wpa_supplicant v2.8-devel. 它正在与 Fritz!Box AP 通信；我提到这一点是因为我有一种可能相关的感觉。

编辑（2）：根据要求：

$ ps -f -p $(pgrep wpa_supplicant)
UID        PID  PPID  C STIME TTY      STAT   TIME CMD
root       342     1  0 Jul12 ?        Ss     0:02 /sbin/wpa_supplicant -u -s -O /run/wpa_supplicant
root       386     1  0 Jul12 ?        Ss     0:04 /sbin/wpa_supplicant -s -B -P /run/wpa_supplicant.wlan0.pid -i wlan0 -D nl80211,wext -c /etc/wpa_supplicant/wpa_supplicant.conf -C /run/wpa_supplicant

我有 300 多个 win7 客户端需要在其上部署 WPA2 Personal PSK。我可以使用 GPO 在客户端上部署 SSID 信息，这很好，但不是 PSK。是否有一种干净/简单的方法来编写脚本，以便可以在机器上输入 PSK？

如果可能的话，我不想将 PSK 提供给最终用户。

我正在使用 Cisco AIR-1252AG (IOS 12.4(10b)JDA3)，我必须同时提供 WEP128 wlan（为了与旧的嵌入式设备兼容，这将转到防火墙 vlan）和 WPA2（WPA1 也可以) wlan 在同一个 2.4GHz 无线电上。两者都具有预共享密钥。

虽然我可以在 SSID 中设置 WPA 选项，但 WEP 加密似乎适用于整个无线电接口。我已经使用“快速安全”(lol) 向导构建了 WEP 配置，然后继续添加 WPA。WPA 已经在 5GHz 无线电上工作（我不需要在那里哭泣），但我还需要支持 2.4GHz 设备，我什至不明白这是否应该可行！

这可能适用于许多 Cisco AIR-* 接入点（但其中一些仅限于 WPA1 和/或单个无线电）。

到目前为止的相关配置：

dot11 ssid my_wpa_network
   authentication open 
   authentication key-management wpa version 2
   guest-mode
   infrastructure-ssid optional
   wpa-psk ascii 7 [...cut...]
!
dot11 ssid my_wep_network
   authentication open 
!
interface Dot11Radio0
 encryption key 1 size 128bit 7 [...cut...] transmit-key
 encryption mode wep mandatory
 ssid my_wep_network
 [... other stuff here ...]
!
interface Dot11Radio1
 encryption mode ciphers aes-ccm 
 ssid my_wpa_network
 [... other stuff here ...]

我想在 Radio0（未广播）上获得带有 psk 的 WEP ssid，在 Radio0 和 Radio1（已广播）上获得带有 psk 的 WPA2（或 WPA+WPA2 或 WPA）ssid。

我们的证书颁发机构有问题，它每天都会删除自己的计算机证书。我使用那台计算机通过 RADIUS 标准实现了 WPA 无线安全。所以每天我都必须更新计算机证书。当我检查事件查看器时，三个日志显示为：

来源：IAS 事件 ID：3

用户 User1 的访问请求被丢弃。完全限定用户名 = domain.com/Users/User1 NAS-IP 地址 = 192.168.0.66 NAS 标识符 = 无线被叫站标识符 = 001d.45d3.4190 呼叫站标识符 = 0023.df15。 1483 Client-Friendly-Name = Wireless Client-IP-Address = 192.168.0.66 NAS-Port-Type = Wireless - IEEE 802.11 NAS-Port = 5113 Proxy-Policy-Name = 对所有用户使用 Windows 身份验证 Authentication-Provider = Windows
身份验证-Server = 原因代码 = 23 原因 = 意外错误。服务器或客户端配置中可能存在错误。

来源：IAS 事件 ID：20168

由于以下错误，无法检索远程访问服务器的证书：找不到对象或属性。

来源：IAS 事件 ID：20168

因为没有为使用 EAP-TLS 拨入的客户端配置证书，所以将向用户 Domain\User1 发送默认证书。请转到用户的远程访问策略并配置可扩展身份验证协议 (EAP)。

什么可能导致问题？

我正在为约 150 个用户建立一个无线网络。简而言之，我正在寻找设置 RADIUS 服务器以针对 LDAP 对 WPA2 进行身份验证的指南。在 Ubuntu 上。

• 我有一个可用的 LDAP，但由于它没有用于生产，它可以很容易地适应这个项目可能需要的任何更改。
• 我一直在研究 FreeRADIUS，但任何 RADIUS 服务器都可以。
• 我们为 WiFi 提供了一个单独的物理网络，因此无需过多担心这方面的安全问题。
• 我们的 AP 是 HP 的低端企业产品——它们似乎支持您能想到的任何东西。
• 所有的 Ubuntu 服务器，宝贝！

还有坏消息：

• 我现在的知识比我少的人最终将接管管理，因此设置必须尽可能“简单”。
• 到目前为止，我们的设置仅基于 Ubuntu 存储库中的软件，除了我们的 LDAP 管理 Web 应用程序和一些小的特殊脚本。因此，如果可以避免的话，就没有“获取包 X、解压缩、./configure”的东西。

更新 2009-08-18：

虽然我找到了一些有用的资源，但有一个严重的障碍：

Ignoring EAP-Type/tls because we do not have OpenSSL support.
Ignoring EAP-Type/ttls because we do not have OpenSSL support.
Ignoring EAP-Type/peap because we do not have OpenSSL support.

基本上，Ubuntu 版本的 FreeRADIUS 不支持 SSL（错误 183840），这使得所有安全 EAP 类型都无用。真可惜。

但对任何感兴趣的人都有一些有用的文档：

• http://vuksan.com/linux/dot1x/802-1x-LDAP.html
• http://tldp.org/HOWTO/html_single/8021X-HOWTO/#confradius

2009 年 8 月 19 日更新：

我昨天晚上最终编译了我自己的 FreeRADIUS 包 - 在http://www.linuxinsight.com/building-debian-freeradius-package-with-eap-tls-ttls-peap-support.html上有一个非常好的食谱（参见对帖子的评论以获取更新的说明）。

我从http://CACert.org获得了证书（如果可能，您应该获得“真正的”证书）

然后我按照http://vuksan.com/linux/dot1x/802-1x-LDAP.html上的说明进行操作。此链接指向http://tldp.org/HOWTO/html_single/8021X-HOWTO/，如果您想了解 WiFi 安全性的工作原理，这是非常值得一读的。

更新 2009-08-27：

遵循上述指南后，我设法让 FreeRADIUS 与 LDAP 对话：

我用密码在 LDAP 中创建了一个测试用户mr2Yx36M- 这提供了一个 LDAP 条目大致为：

uid: testuser
sambaLMPassword: CF3D6F8A92967E0FE72C57EF50F76A05
sambaNTPassword: DA44187ECA97B7C14A22F29F52BEBD90
userPassword: {SSHA}Z0SwaKO5tuGxgxtceRDjiDGFy6bRL6ja

使用时radtest，我可以正常连接：

> radtest testuser "mr2Yx36N" sbhr.dk 0 radius-private-password
Sending Access-Request of id 215 to 130.225.235.6 port 1812
    User-Name = "msiebuhr"
    User-Password = "mr2Yx36N"
    NAS-IP-Address = 127.0.1.1
    NAS-Port = 0
rad_recv: Access-Accept packet from host 130.225.235.6 port 1812, id=215, length=20
> 

但是当我尝试通过 AP 时，它并没有运行 - 虽然它确实确认它计算出了 NT 和 LM 密码：

...
rlm_ldap: sambaNTPassword -> NT-Password == 0x4441343431383745434139374237433134413232463239463532424542443930
rlm_ldap: sambaLMPassword -> LM-Password == 0x4346334436463841393239363745304645373243353745463530463736413035
[ldap] looking for reply items in directory...
WARNING: No "known good" password was found in LDAP.  Are you sure that the user is configured correctly?
[ldap] user testuser authorized to use remote access
rlm_ldap: ldap_release_conn: Release Id: 0
++[ldap] returns ok
++[expiration] returns noop
++[logintime] returns noop
[pap] Normalizing NT-Password from hex encoding
[pap] Normalizing LM-Password from hex encoding
...

很明显，NT 和 LM 密码与上述不同，但消息[ldap] user testuser authorized to use remote access- 用户后来被拒绝......

当我们在多个办公室更换现有的 WEP 基础设施时，我们正在权衡升级到 WPA 与 WPA2（均为 PSK）的价值。我们有几种不同类型的设备不支持 WPA2，因此迁移到该协议会产生额外的成本。

我想知道 WPA-PSK 无线网络的威胁是什么？有了这些信息，我们将能够平衡升级成本与安全威胁。

我知道 WPA/WPA2 加密可以很好地防止无线网络外的人窥探。但是网络中的某个人（即获得共享密钥的人）能否监视/拦截同一网络上另一个用户的流量（例如普通的 http 浏览）？

编辑：附加场景：爱丽丝在无线；Bob 通过以太网电缆连接到路由器。Alice 可以拦截 Bob 的流量吗？

我应该使用哪种协议，为什么？

我正在尝试使用 wpa_supplicant 为 Debian 系统上的以太网和无线接口提供标准配置。我想这样做的方式是，当您插入以太网电缆时，无线接口被禁用，并在您拔下电缆时再次启用（获得最佳性能的合理配置）。我该怎么做？

Vista 现在似乎支持通过 USB 磁盘自动分配无线密钥。要查看此操作，请尝试连接到安全访问点（您没有密钥），当它要求密钥时，插入 USB 驱动器。它报告驱动器没有所需的信息。

你如何创建这个文件？分发密钥会非常方便——事实上，不需要把密钥拿出来——管理员会出现，插入驱动器，然后离开。用户永远无法访问密钥，因为它直接进入 Windows 无线配置（尽管我想它可以从 Windows 中提取）。

它是一种简单的文本格式，还是更复杂的，以及如何在 Windows 中创建它？

它是一种众所周知的格式，是否也可以用于 MAC 和 Linux 配置？

这是否与 XP 使用的格式相同（但不像 Vista 的新支持那样“自动”）？

-亚当