Ahoj všichni!
Nikdy jsem si nemyslel, že se k tomuto případu vrátím, ale přimělo mě, abych si vzpomněl a pohovořil o své osobní zkušenosti, když jsem měl před více než rokem příležitost strávit poměrně hodně času studiem problému s bezdrátovou sítí na bázi Cisco a telefony iPhone. Dostal jsem za úkol prozkoumat otázku jednoho z manažerů: „Proč se iPhone po restartu nemůže automaticky připojit k síti Wi-Fi a při ručním připojení vás požádá o zadání uživatelského jména a hesla?“
Informace o síti Wi-Fi:
Bezdrátový ovladač - AIR-CT5508-K9.
Verze softwaru ovladače je 8.5.120.0.
Přístupové body - většinou AIR-AP3802I-R-K9.
Metoda ověřování je 802.1x.
Server RADIUS - ISE.
Problémoví klienti - iPhone 6.
Verze klientského softwaru je 12.3.1.
Frekvence 2,4 GHz a 5 GHz.
Nalezení problému na klientovi
Zpočátku byly pokusy řešit problém útokem na klienta. Naštěstí jsem měl stejný model telefonu jako žadatel a mohl jsem provést testování v době, která mi vyhovovala. Zkontroloval jsem problém na svém telefonu - skutečně, okamžitě po zapnutí se telefon pokouší připojit k dříve známé podnikové síti, ale asi po 10 sekundách zůstane nepřipojen. Pokud vyberete SSID ručně, telefon vás požádá o zadání přihlašovacího jména a hesla. Po jejich zadání vše funguje správně, ale po restartu se telefon opět nemůže automaticky připojit k SSID, přestože přihlašovací jméno a heslo byly uloženy, SSID bylo v seznamu známých sítí a automatické připojení je povoleno.
Došlo k neúspěšným pokusům o zapomenutí SSID a jeho opětovné přidání, resetování síťových nastavení telefonu, aktualizaci telefonu přes iTunes a dokonce i aktualizaci na beta verzi iOS 12.4 (tehdy nejnovější). To vše ale nepomohlo. Kontrolovány byly i modely našich kolegů iPhone 7 a iPhone X, na kterých byl problém také reprodukován. Ale na telefonech Android problém není vyřešen. Navíc byl vytvořen tiket v Apple Feedback Assistant, ale do dnešního dne nepřišla žádná odpověď.
Odstraňování problémů s bezdrátovým ovladačem
Po všem výše uvedeném bylo rozhodnuto hledat problém ve WLC. Zároveň jsem otevřel tiket s Cisco TAC. Na základě doporučení TAC jsem aktualizoval ovladač na verzi 8.5.140.0. Hrál jsem si s různými časovači a rychlým přechodem. Nepomohlo.
Pro testování jsem vytvořil nové SSID s ověřováním 802.1x. A tady je zvrat: problém se na novém SSID nereprodukuje. Otázka inženýra TAC nás nutí přemýšlet, jaké změny jsme provedli v síti Wi-Fi, než se problém objevil. Začínám si vzpomínat... A je tu jedno vodítko – původně problematické SSID mělo dlouhou dobu autentizační metodu WPA2-PSK, ale pro zvýšení úrovně zabezpečení jsme ji změnili na 802.1x s doménovou autentizací.
Kontroluji nápovědu – na testovacím SSID měním způsob ověřování z 802.1x na WPA2-PSK a pak zpět. Problém není reprodukovatelný.
Je potřeba přemýšlet sofistikovaněji – vytvořím další testovací SSID s WPA2-PSK autentizací, připojím k němu telefon a zapamatuji si SSID v telefonu. Změním ověřování na 802.1x, ověřím telefon pomocí účtu domény a povolím automatické připojení.
Restartuji telefon... A ano! Problém se opakoval. Tito. Hlavním spouštěčem je změna metody ověřování na známém telefonu z WPA2-PSK na 802.1x. Oznámil jsem to technikovi Cisco TAC. Společně s ním jsme problém několikrát reprodukovali, provedli výpis provozu, ve kterém bylo jasné, že po zapnutí telefon spustí fázi ověřování (Access-Challenge), ale po chvíli odešle disasociační zprávu na přístupový bod a odpojí se od něj. To je jednoznačně problém na straně klienta.
A opět na klientovi
Vzhledem k neexistenci smlouvy o podpoře se společností Apple došlo k dlouhému, ale úspěšnému pokusu o dosažení druhé linky podpory, ve které jsem nahlásil problém. Pak bylo mnoho nezávislých pokusů najít a určit příčinu problému v telefonu a bylo nalezeno. Problém se ukázal být povolenou funkcí "". Docela užitečná funkce, kterou jsme se stěžovatelem problému nechtěli vypínat na telefonech pro řešení problému. Podle mého předpokladu telefon nemůže přepsat informace o způsobu připojení ke známým SSID na serverech iCloud. Nález byl nahlášen Apple, kterému přiznali, že existuje takový problém, je vývojářům znám a bude opraven v budoucích vydáních. Neřekli, které vydání. Nejsem připraven říkat, jak se věci v tuto chvíli mají , ale na začátku prosince 2019 byl problém stále reprodukovatelný na iPhone 11 Pro Max s iOS 13.
Závěr
Pro naši společnost byl problém úspěšně vyřešen. Vzhledem k tomu, že došlo ke změně názvu společnosti, bylo rozhodnuto o změně firemního SSID. A nové SSID již bylo okamžitě vytvořeno s ověřováním 802.1x, což nebylo spouštěčem problému.
Zdroj: www.habr.com