Sono attualmente in fase di test di EAP-TLS prima di metterlo in produzione. La mia configurazione di prova è composta da:
- Supplicanti: Android 6, Debian Buster con WICD-GTK.
- Authenticator: Mikrotik RouterOS 6.43 (in realtà sta passando attraverso Frame EAP su FreeRADIUS)
- Server di autenticazione: FreeRADIUS 3.0.12
È noto che il campo CN in un certificato utente x509 può essere utilizzato come identità utente. Supponevo che con EAP-TLS non dovessimo più usare la coppia nome utente / password. Ma nel caso di Android o WICD devo specificare manualmente un nome utente ( Identity ) nelle impostazioni Wi-Fi del client (Android, WICD) per essere autenticato con successo. Inoltre, nella GUI di WICD-GTK il campo Identity non può essere vuoto. Android consente a quel campo di essere vuoto, ma l'autenticazione non funziona in questo caso. Infatti, nel campo Identity devo inserire lo stesso valore di CN is. Ho sentito che Apple iOS utilizza il valore CN se il campo Identity è vuoto, ma non ho un dispositivo Apple per la conferma.
È normale che sia necessario specificare manualmente l'identità di un utente per le impostazioni Wi-Fi EAP-TLS, indipendentemente dal valore CN, oppure si tratta di una scarsa implementazione EAP-TLS in quei client?