Let me explain the 2 scenarios -<br><br>#1 <br>-- with just only AP1 running <br>Connect AP1 -&gt; disconnect AP1 -&gt; re-connect AP1<br>When I do re-connect to AP1 it skips the PMKSA since association request contained valid PMKID.<br>
<br>-- with just only AP2 running<br>Connect AP2 -&gt; disconnect AP2 -&gt; re-connect AP2<br>
When I do re-connect to AP2 it skips the PMKSA since association request contained valid PMKID<br><br>Conclusion: in both the reconnects i see correct exhibition of behavior<br><br>#2<br>Following is the sequence of actions -&gt;<br>
2.1&gt; initially AP1(ssid = &quot;linksis-wpa2-ttls&quot;) is running, so i connect AP1 doing full PMKSA, i successfully finish RSNA.<br><br>2.2&gt;I start AP2(ssid = &quot;linksis-wpa2-ttls&quot;), and after AP2 is up and running, I stop AP1. wpa_supp receives &quot;media connect&quot; for AP2, and it performs RSNA with AP2 successfully.<br>
<br>2.3&gt; I start AP1 again (without any change in configuration), and after AP1 is up and running, I stop AP2. wpa_supp receives &quot;media connect&quot; for AP1, and it performs RSNA with AP1 successfully. <br><br>Conclusion: I see an issue in &lt;2.3&gt;, since AP1 does not honor the pmkid in association request, it performs the full EAP again. Since wpa_supp sends correct PMKID in association, I was expecting AP1 to directly jump to PTKSA, but it does not happen that way.<br>
<br>Hope I made the scenarios clear. Please let me know if needs more clarification.<br><br><br>Thanks<br>- Paresh<br><br><br><div class="gmail_quote">On Tue, Dec 23, 2008 at 1:53 PM, Jouni Malinen <span dir="ltr">&lt;<a href="mailto:j@w1.fi">j@w1.fi</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div class="Ih2E3d">On Mon, Dec 22, 2008 at 07:16:48PM +0530, Paresh Sawant wrote:<br>
<br>
&gt; I have 2 linksys access points (WRT54GL), both belong to same ssid,<br>
<br>
</div><div class="Ih2E3d">&gt; wpa_supplicant successfully manages to associate using eap-ttls with both<br>
&gt; APS, but I notice while reassociating with either of the APs, even though<br>
&gt; the association request carries valid PMKID in RSN IE, AP chooses to do<br>
&gt; complete EAP-TTLS instead of skipping PMKSA. But it does NOT behave this way<br>
&gt; when I have only one AP running, it honors the pmkid carried in the<br>
&gt; association request and skips the PMKSA jumping directly to PTKSA.<br>
<br>
</div>Just to make sure I understood your test scenario:<br>
<br>
AP1 -&gt; AP1 uses PMKSA caching<br>
<br>
AP1 -&gt; AP2 does not (as expected, since AP2 did not yet know PMK)<br>
<br>
did you try AP1 -&gt; AP2 -&gt; AP1 (the second reassociation could use PMKSA<br>
caching)<br>
<br>
If you want to get the first reassociation to use PMKSA caching, you<br>
would also need to enable RSN pre-authentication (or opportunistic key<br>
caching if the APs support that).<br>
<font color="#888888"><br>
--<br>
Jouni Malinen &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;PGP id EFC895FA<br>
_______________________________________________<br>
HostAP mailing list<br>
<a href="mailto:HostAP@lists.shmoo.com">HostAP@lists.shmoo.com</a><br>
<a href="http://lists.shmoo.com/mailman/listinfo/hostap" target="_blank">http://lists.shmoo.com/mailman/listinfo/hostap</a><br>
</font></blockquote></div><br>