Actualmente estoy en proceso de probar EAP-TLS antes de implementarlo en producción. Mi configuración de prueba consiste en:
- Supplicantes: Android 6, Debian Buster con WICD-GTK.
- Autentificador: Mikrotik RouterOS 6.43 (en realidad está pasando por Marcos EAP a FreeRADIUS)
- Servidor de autenticación: FreeRADIUS 3.0.12
Se sabe que el campo CN en un certificado de usuario x509 se puede usar como identidad de usuario. Supuse que con EAP-TLS no debemos usar más el par de nombre de usuario y contraseña. Pero en el caso de Android o WICD, tengo que especificar manualmente un nombre de usuario ( Identity ) en la configuración de Wi-Fi del cliente (Android, WICD) para autenticarme correctamente. Además, en la GUI de WICD-GTK, el campo Identity no puede estar vacío. Android permite que ese campo esté vacío, pero la autenticación no funciona en ese caso. De hecho, en el campo Identity tengo que ingresar el mismo valor que CN . He oído que Apple iOS usa el valor CN si el campo Identity está vacío, pero no tengo un dispositivo Apple para la confirmación.
¿Es normal que exista una especificación manual de la identidad de un usuario para la configuración de Wi-Fi de EAP-TLS, independientemente del valor de CN, o es una implementación deficiente de EAP-TLS en esos clientes?