Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

ClearOS 5.2 Freeradius 2 LDAP ntlm auth Active Directory

Mitglied: russianbear

russianbear (Level 1) - Jetzt verbinden

23.12.2012, aktualisiert 05.03.2013, 10015 Aufrufe, 3 Kommentare, 3 Danke

Da ich ein großer Fan von ClearOS bin, habe ich mir zum Ziel gesetzt den Freeradiusserver mit AD-Authentifizierung unter CleaorOs zum Laufen zu bringen.

Voraussetzungen: AD-Windowsserver(2003 oder 2008), ClearOS 5.2 komplett mit allen Paketen(SAMBA...), Access Point
Beispiel-AD-Windowsserver IP: 10.10.1.1 Domäne: kgb.local FQDN: venus.kgb.local
Beispiel-ClearOs IP(LAN-Schnittstelle): 10.10.1.2
Access Point IP: 10.10.1.3 SSID: radius Radius-port:1812
Radius-Secret: testing123 (nicht ändern, weil mit den Dateien verknüpft ist, die hier nicht erwähnt wurden)

26738c3d9d82e29bbcf7a2223706b985 - Klicke auf das Bild, um es zu vergrößern

1. ClearOS Update und Freeradius installieren- an der Konsole als Root folgende Befehle ausführen

yum update
yum --enablerepo=base-plus install app-freeradius
service syswatch restart
yum install mc

2. ClearOS Linux in die Windows-Domäne bringen(folgende Dateien sollen angepasst sein)

https://10.10.1.2:81

fcbc6a9280951613e3c988dd29619795 - Klicke auf das Bild, um es zu vergrößern

mcedit /etc/krb5.conf
01.
[logging]
02.
 default = FILE:/var/log/krb5libs.log
03.
 kdc = FILE:/var/log/krb5kdc.log
04.
 admin_server = FILE:/var/log/kadmind.log
05.

06.
[libdefaults]
07.
 default_realm = VENUS.KGB.LOCAL
08.
 dns_lookup_realm = false
09.
 dns_lookup_kdc = false
10.
 ticket_lifetime = 24h
11.

12.
[realms]
13.
VENUS.KGB.LOCAL = {
14.
    kdc = venus.kgb.local:88
15.
    admin_server = venus.kgb.local:749
16.
    default_domain = venus.kgb.local
17.
    }
18.

19.
[domain_realm]
20.
.venus.kgb.local = VENUS.KGB.LOCAL
21.
venus.kgb.local = VENUS.KGB.LOCAL
22.

23.
[appdefaults]
24.
 pam = {
25.
   debug = false
26.
   ticket_lifetime = 36000
27.
   renew_lifetime = 36000
28.
   forwardable = true
29.
   krb4_convert = false
30.
 }
touch /etc/pam_smb.conf
mcedit /etc/pam_smb.conf
01.
KGB.LOCAL
02.
VENUS
mcedit /etc/hosts
01.
8.8.8.8  google-public-dns-a.google.com google-public-dns-a
02.
8.8.4.4  google-public-dns-b.google.com google-public-dns-b
03.
10.10.1.1  venus.kgb.local venus
mcedit /etc/nsswitch.conf
01.
#group:     db files nisplus nis
02.
passwd:     files winbind
03.
shadow:     files winbind
04.
group:      files winbind
05.
#hosts:     db files nisplus nis dns
mcedit /etc/resolv.conf
01.
nameserver venus.kgb.local 
02.
nameserver 8.8.8.8
ping venus #der Server muss anpingbar sein
mcedit /etc/samba/smb.conf
01.
[global]
02.
#netbios name = ClearOS
03.
workgroup = kgb
04.
hosts allow = 10.10.1.0/24
05.
#server string = ClearOS Enterprise
06.
idmap uid = 10000-20000
07.
idmap gid = 10000-20000
08.
winbind enum users = yes
09.
#winbind gid = 10000-20000
10.
winbind enum groups = yes
11.
winbind use default domain = yes
12.
#preferred master = yes
13.
winbind separator = +
14.
username map = /etc/samba/smbusers
15.
template shell = /bin/false
16.
printing = cups
17.
cups options = raw
18.
#max log size = 50	
19.
os level = 1
20.
password server = venus.kgb.local
21.
realm = KGB.LOCAL
22.
#dns proxy = no
23.
#encrypt passwords = yes
24.
#allow trusted domains = yes
25.
# Logging
26.
#syslog = 0
27.
#log level = 1
28.
log file = /var/log/samba/%L-%m
29.
max log size = 50
30.
#utmp = Yes
31.

32.
#Network
33.
bind interfaces only = yes
34.
interfaces = lo eth2 eth1 
35.
smb ports = 139
36.

37.
#Printing
38.
#printcap name = /etc/printcap
39.
#load printers = Yes
40.

41.
#Security settings---geandert security user
42.
security = ads
43.
map to guest = Bad User
44.
#guest account = guest
45.
#restrict anonymous = 2
46.

47.
#WINS
48.
wins support = No
49.
wins server = 
50.

51.
#PDC
52.
#domain logons = Yes
53.
#add machine script = /usr/sbin/samba-add-machine "%u"
54.
#logon drive = U:
55.
#logon script = logon.cmd
56.
#logon path = 
57.
#logon home = \\%L\%U
58.

59.
#Other
60.
#preferred master = Yes
61.
#domain master = Yes
62.
#unix password sync = Yes
63.
#passwd program = /usr/sbin/userpasswd %u
64.
#passwd chat = *password:* %n\n *password:* %n\n *successfully.*
65.
#username map = /etc/samba/smbusers
66.
#wide links = No
67.

68.
#LDAP
69.
#include = /etc/samba/smb.ldap.conf
70.

71.
#Winbind
72.
#include = /etc/samba/smb.winbind.conf
73.

74.
#============================ Share Definitions ==============================
75.

76.
#include = /etc/samba/flexshare.conf
77.

78.
[homes]
79.
	comment = Home Directories
80.
	path = /home/%U
81.
	valid users = %D\%S
82.
	read only = No
83.
	browseable = No
84.
	available = No
85.

86.
[printers]
87.
	comment = Print Spool
88.
	path = /var/spool/samba
89.
	printing = cups
90.
	cups options = raw
91.
	use client driver = Yes
92.
	printable = Yes
93.
	read only = No
94.
	browseable = No
95.
	available = No
96.

97.
[print$]
98.
	comment = Printer Drivers
99.
	path = /var/samba/drivers
100.
	read only = No
101.
	browseable = No
102.
	available = No
103.

104.
[netlogon]
105.
	comment = Network Logon Service
106.
	path = /var/samba/netlogon
107.
	read only = No
108.
	locking = No
109.
	browseable = No
110.
	available = Yes
111.

112.
[profiles]
113.
	comment = Profile Share
114.
	path = /var/samba/profiles
115.
	read only = No
116.
	profile acls = Yes
117.
	browseable = No
118.
	available = No
119.
	force group = domain_users
120.
	force directory mode = 02775
121.
	force directory security mode = 02775
an der Konsole folgende Befehle ausführen
service smb restart
service winbind restart
net ads join -S venus -U Administrator
password: (Pass des Admins)
wbinfo -u #wenn alles ok ist, wird die Liste der AD-Benutzer aufgelistet

3. Freeradius konfiguration

mcedit /etc/raddb/radiusd.conf
01.
listen {
02.
	...........
03.
        ...........
04.
	type = auth
05.
        ipaddr = 10.10.1.2
06.
        port = 1812
07.
        interface = eth2 #(hier die Schnittstelle der aktiven LAN-Verbindung)
08.
        ..........
09.
        ..........
10.
}
touch /etc/raddb/modules/ntlm_auth
mcedit /etc/raddb/modules/ntlm_auth
01.
exec ntlm_auth {
02.
    wait = yes
03.
    #Wichtig!!! diese Zeile ohne Umbruch!!!
04.
    program = "/usr/bin/ntlm_auth --request-nt-key --domain=KGB --username=%{mschap:User-Name} --password=%{User-Password}"
05.
    input_pairs = "request"
06.
    shell_escape = yes
07.
}
mcedit /etc/raddb/modules/mschap
01.
mschap {
02.
        ......
03.
        ......
04.
        use_mppe = yes
05.
        require_encryption = no
06.
        require_strong = no
07.
        with_ntdomain_hack = yes
08.
        #Wichtig!!! diese Zeile ohne Umbruch!!!
09.
	ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --username=%{mschap:User-Name:-None} --domain=%{%{mschap:NT-Domain}:-KGB} --challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:-00}"
10.
}
unter /etc/raddb/sites-enabled alle 3 Dateien (Default,inner-tunnel,clearos-inner-tunnel) gleichermaßen anpassen.
01.
authorize {
02.
	.........
03.
        .........
04.
        #ldap auskommentieren
05.
        ldap
06.
        .........
07.
        ........
08.
}
01.
authenticate {
02.
        .........
03.
        .........
04.
        #ntlm_auth hinzufuegen
05.
	eap
06.
	ntlm_auth 
07.
	.........
08.
        .........
09.
}
mcedit /etc/raddb/modules/ldap
01.
ldap {
02.
	server = "10.10.1.1"
03.
	identity = "cn=Administrator,cn=users,dc=kgb,dc=local"
04.
	password = (Passwort des Admins)
05.
	basedn = "cn=users,dc=kgb,dc=local"
06.
	filter = "(&(sAMAccountName=%{Stripped-User-Name:-%{User-Name}}))"
07.
	ldap_connections_number = 5
08.
	timeout = 20
09.
	timelimit = 10 
10.
	net_timeout = 5
11.
	tls {
12.
		start_tls = no
13.
	}
14.
	dictionary_mapping = ${confdir}/ldap.attrmap
15.
	edir_account_policy_check = no
16.
	groupname_attribute = cn
17.
        #Wichtig!!! diese Zeile ohne Umbruch!!!
18.
	groupmembership_filter = "(|(&(objectClass=group)(member=%Ldap-UserDn}))(&(objectClass=top)(uniquemember=%{Ldap-UserDn})))"
19.
	groupmembership_attribute = memberOf
20.
}
service radiusd restart

4. Rechte setzen

/var/lib/samba setfacl -m u:radiusd:rx winbindd_privileged
mit dem folgenden Befehl kann man die Verbindung zu AD testen (radius ist ein Testuser im AD)
ntlm_auth --domain=kgb.local --request-nt-key --username=radius

5. Die Dateien /etc/raddb/clearos-users /etc/raddb/users gleichermaßen anpassen

mcedit /etc/raddb/clearos-users
01.
#DEFAULT LDAP-Group != "users", Auth-Type := Reject (einkommentieren)
02.
DEFAULT	Auth-Type = ntlm_auth

6. Access Point eintragen

hier sind alle Access Points einzutragen.
in der Rubrik group alluser darf man nicht auf den Button "ausführen" klicken, sonst wird die Zeile DEFAULT LDAP-Group != "users", Auth-Type := Reject wieder auskommentiert.
21f78f7bbf2619934dad795c99188c1b - Klicke auf das Bild, um es zu vergrößern

7. radiusd -X (testen des Servers - Debugging mode)


8. Windows 7 Client einrichten.


2c8078775278e28ead4cb9eeab127758 - Klicke auf das Bild, um es zu vergrößern
3ea0876b75250e52ad47a4b9bbfb74a1 - Klicke auf das Bild, um es zu vergrößern
33e70f07f234f3ac624fa8322525403c - Klicke auf das Bild, um es zu vergrößern
6754b6469024daf0bc236b8de0010e4c - Klicke auf das Bild, um es zu vergrößern
b5b1b1238162a82dd0b6bfbc7abd290f - Klicke auf das Bild, um es zu vergrößern
c11ad47b844a7fab9d836a97557088de - Klicke auf das Bild, um es zu vergrößern
0fce6a2744467941ad9a97fb8db9059c - Klicke auf das Bild, um es zu vergrößern
7fec56bbf32eb78705c308b03f032b2d - Klicke auf das Bild, um es zu vergrößern
1105b1049cdb9b4e1c26a81f78e095fe - Klicke auf das Bild, um es zu vergrößern
72d82f5c072e4339840f7312992bfb10 - Klicke auf das Bild, um es zu vergrößern

Es erscheint das Fenster zur Eingabe des Benutzernamens und des Passworts.

9. Sonderfall Iphone & CO und Freeradius


Für die Nutzung von Iphone ist ein Profil erforderlich, das verschiedene
Einstellungen in einem Block zusammenfasst.
das Profil kann anhand des Programms "Iphone Konfigurationprogramm" erstellt werden.
dieses Programm ist kostenfrei unter der Adresse https://www.apple.com/de/support/iphone/enterprise/ herunterzuladen.
für das Wlan-Profil sollen zwei Rubriken(Allgemein und WLAN) angepasst werden.
718997d8acf0ec78a0d93dfbc8120716 - Klicke auf das Bild, um es zu vergrößern
anschließend soll das Profil mit dem Safari-Browser auf dem Iphone installiert werden.
Mitglied: wiesi200
23.12.2012 um 16:04 Uhr
Hallo,

grundsätzlich mal eine lobende Idee.
Jetzt kommt leider das große "ABER".
Bitte mach eine Saubere Formatierung, verwende Code Tags und schreib etwas mehr Anleitung warum du was machst.
Von so Sachen wie Inhaltsverzeichnis will ich noch gar nicht reden.

Paradebeispiele gibt's u.a. von Aqui
https://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...
Bitte warten ..
Mitglied: 108012
23.12.2012 um 19:46 Uhr
Hallo russianbear,

das selbe wie wiesi200, das kannst Du doch wirklich besser, wenn ich mir das so anschaue.
Aber um Längen. Trotzdem danke für die Anleitung, das ist bestimmt mal was, was man sich ab und an anschauen wird.
Kann man damit nicht rein theoretisch die WLAN Klienten mit Radius absichern und die Kabel gebundenen Klienten
via LDAP oder habe ich da was falsch in den Hals bekommen.

Gruß
Dobby
Bitte warten ..
Mitglied: russianbear
23.12.2012 um 22:50 Uhr
Hi Dobby!,

das kann für den Open-VPN oder Squid(Proxy Server) sinnvoll sein.

Gruß und Frohes Fest!!
russianbear
Bitte warten ..
Ähnliche Inhalte
Linux Userverwaltung

Samba-ActiveDirectory mit FreeRADIUS, CheckMK, Nextcloud, OpenVPN, ProxmoxVE und mehr

Anleitung von BinaryBearLinux Userverwaltung1 Kommentar

Ich habe die letzten Wochen (Monate) damit verbracht mit in das Thema ActiveDirectory und Samba einzuarbeiten. Dabei habe ich ...

Firewall

Pfsense Freeradius OTP funktioniert nicht mit 2.4.1, sondern anscheinend nur bis 2.3.4

Tipp von horstvogelFirewall1 Kommentar

Hallo, ich hatte an anderer Stelle schon von meinen Problemen berichtet. Ich bin also auf die Version 2.3.4 zurück ...

Windows Userverwaltung

Default Donwload Directory des IE anpassen

Tipp von emeriksWindows Userverwaltung

Hi, ich hatte heute eine komische Sache geklärt, von der ich denke, dass sie auch Euch interessieren könnte. Bei ...

Sicherheit

Freeware, um Active Directory auf Sicherheitslücken prüfen

Information von DerWoWussteSicherheit

Interessantes Tool, läuft ohne Adminrechte und ist superschnell fertig. Auch der Report ist meiner Ansicht nach sehr gut.

Neue Wissensbeiträge
Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 14 StundenWindows Installation9 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 1 TagDatenschutz

Webbrowser

Firefox 71 verfügbar mit Picture in Picture Funktion

Information von sabines vor 1 TagWebbrowser2 Kommentare

Die neue Firefox Version 71 unterstützt, zunächst nur für Windows, Picture in Picture. Damit kann ein Video in einem ...

E-Mail
SPF beim Versenden testen
Tipp von StefanKittel vor 3 TagenE-Mail3 Kommentare

Hallo, wenn man einen SPF für einen Exchange, oder anderen Mail-Server, konfigiruert muss man das ja auch testen. Ganz ...

Heiß diskutierte Inhalte
Virtualisierung
Linux Ubuntu Error
gelöst Frage von Nickolas.GroheVirtualisierung25 Kommentare

Hallo, Ich habe in einer VirtuaBox Linux Ubuntu Installiert. 4096 mbit ram 64,00 GB 3 von 8 Cpu Wenn ...

Hyper-V
Wie berechne ich mir die Anzahl der vCPU für HYPER-V aus?
Frage von samet22Hyper-V20 Kommentare

Hallo, bitte nicht schimpfen, ich habe mich nur selber gerade etwas verwirrt :D Wie berechne ich mir aus wieviele ...

LAN, WAN, Wireless
WLAN Absicherung
gelöst Frage von Alex29LAN, WAN, Wireless19 Kommentare

Hallo zusammen, WPA2 wurde vor einiger Zeit geknackt. Auch bei WPA3 wurden schon Lücken aufgezeigt aber das größere Problem ...

Debian
Zweite IP - Routing?
gelöst Frage von thepandapi94Debian15 Kommentare

Hey Zusammen, ich habe gestern über Hetzner eine zweite IP bezogen. Laut Hetzner soll diese auch auf die primäre ...