Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

ClearOS 5.2 Freeradius 2 LDAP ntlm auth Active Directory

Mitglied: russianbear

Da ich ein großer Fan von ClearOS bin, habe ich mir zum Ziel gesetzt den Freeradiusserver mit AD-Authentifizierung unter CleaorOs zum Laufen zu bringen.

Voraussetzungen: AD-Windowsserver(2003 oder 2008), ClearOS 5.2 komplett mit allen Paketen(SAMBA...), Access Point
Beispiel-AD-Windowsserver IP: 10.10.1.1 Domäne: kgb.local FQDN: venus.kgb.local
Beispiel-ClearOs IP(LAN-Schnittstelle): 10.10.1.2
Access Point IP: 10.10.1.3 SSID: radius Radius-port:1812
Radius-Secret: testing123 (nicht ändern, weil mit den Dateien verknüpft ist, die hier nicht erwähnt wurden)

26738c3d9d82e29bbcf7a2223706b985

back-to-top1. ClearOS Update und Freeradius installieren- an der Konsole als Root folgende Befehle ausführen

yum update
yum --enablerepo=base-plus install app-freeradius
service syswatch restart
yum install mc

back-to-top2. ClearOS Linux in die Windows-Domäne bringen(folgende Dateien sollen angepasst sein)

https://10.10.1.2:81

fcbc6a9280951613e3c988dd29619795

mcedit /etc/krb5.conf
touch /etc/pam_smb.conf
mcedit /etc/pam_smb.conf
mcedit /etc/hosts
mcedit /etc/nsswitch.conf
mcedit /etc/resolv.conf
ping venus #der Server muss anpingbar sein
mcedit /etc/samba/smb.conf
an der Konsole folgende Befehle ausführen
service smb restart
service winbind restart
net ads join -S venus -U Administrator
password: (Pass des Admins)
wbinfo -u #wenn alles ok ist, wird die Liste der AD-Benutzer aufgelistet

back-to-top3. Freeradius konfiguration

mcedit /etc/raddb/radiusd.conf
touch /etc/raddb/modules/ntlm_auth
mcedit /etc/raddb/modules/ntlm_auth
mcedit /etc/raddb/modules/mschap
unter /etc/raddb/sites-enabled alle 3 Dateien (Default,inner-tunnel,clearos-inner-tunnel) gleichermaßen anpassen.
mcedit /etc/raddb/modules/ldap
service radiusd restart

back-to-top4. Rechte setzen

/var/lib/samba setfacl -m u:radiusd:rx winbindd_privileged
mit dem folgenden Befehl kann man die Verbindung zu AD testen (radius ist ein Testuser im AD)
ntlm_auth --domain=kgb.local --request-nt-key --username=radius

back-to-top5. Die Dateien /etc/raddb/clearos-users /etc/raddb/users gleichermaßen anpassen

mcedit /etc/raddb/clearos-users

back-to-top6. Access Point eintragen

hier sind alle Access Points einzutragen.
in der Rubrik group alluser darf man nicht auf den Button "ausführen" klicken, sonst wird die Zeile DEFAULT LDAP-Group != "users", Auth-Type := Reject wieder auskommentiert.
21f78f7bbf2619934dad795c99188c1b

back-to-top7. radiusd -X (testen des Servers - Debugging mode)


back-to-top8. Windows 7 Client einrichten.


2c8078775278e28ead4cb9eeab127758
3ea0876b75250e52ad47a4b9bbfb74a1
33e70f07f234f3ac624fa8322525403c
6754b6469024daf0bc236b8de0010e4c
b5b1b1238162a82dd0b6bfbc7abd290f
c11ad47b844a7fab9d836a97557088de
0fce6a2744467941ad9a97fb8db9059c
7fec56bbf32eb78705c308b03f032b2d
1105b1049cdb9b4e1c26a81f78e095fe
72d82f5c072e4339840f7312992bfb10

Es erscheint das Fenster zur Eingabe des Benutzernamens und des Passworts.

back-to-top9. Sonderfall Iphone & CO und Freeradius


Für die Nutzung von Iphone ist ein Profil erforderlich, das verschiedene
Einstellungen in einem Block zusammenfasst.
das Profil kann anhand des Programms "Iphone Konfigurationprogramm" erstellt werden.
dieses Programm ist kostenfrei unter der Adresse https://www.apple.com/de/support/iphone/enterprise/ herunterzuladen.
für das Wlan-Profil sollen zwei Rubriken(Allgemein und WLAN) angepasst werden.
718997d8acf0ec78a0d93dfbc8120716
anschließend soll das Profil mit dem Safari-Browser auf dem Iphone installiert werden.

Content-Key: 196140

Url: https://administrator.de/contentid/196140

Ausgedruckt am: 01.12.2021 um 00:12 Uhr

Mitglied: wiesi200
wiesi200 23.12.2012 um 16:04:49 Uhr
Goto Top
Hallo,

grundsätzlich mal eine lobende Idee.
Jetzt kommt leider das große "ABER".
Bitte mach eine Saubere Formatierung, verwende Code Tags und schreib etwas mehr Anleitung warum du was machst.
Von so Sachen wie Inhaltsverzeichnis will ich noch gar nicht reden.

Paradebeispiele gibt's u.a. von Aqui
https://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...
Mitglied: Dobby
Dobby 23.12.2012 um 19:46:04 Uhr
Goto Top
Hallo russianbear,

das selbe wie wiesi200, das kannst Du doch wirklich besser, wenn ich mir das so anschaue.
Aber um Längen. Trotzdem danke für die Anleitung, das ist bestimmt mal was, was man sich ab und an anschauen wird.
Kann man damit nicht rein theoretisch die WLAN Klienten mit Radius absichern und die Kabel gebundenen Klienten
via LDAP oder habe ich da was falsch in den Hals bekommen.

Gruß
Dobby
Mitglied: russianbear
russianbear 23.12.2012 um 22:50:57 Uhr
Goto Top
Hi Dobby!,

das kann für den Open-VPN oder Squid(Proxy Server) sinnvoll sein.

Gruß und Frohes Fest!!
russianbear
Heiß diskutierte Beiträge
question
Euro Zeichen geht nicht mehr gelöst GwaihirVor 1 TagFrageWindows 1014 Kommentare

Hallo zusammen, bei einem User geht das Euro-Zeichen nicht mehr. Er kann es nur noch über Copy&Paste aus der Zeichentabelle einfügen. Auch STRG+ALT+E klappt nicht. ...

question
Bitlockerpartition versehentlich gelöscht Läppi findet nach Partitiosformatierung mbr gpt die Partition nicht wiederPCChaosVor 1 TagFrageWindows 1011 Kommentare

Hallo zusammen, Ich habe ein riesen Problem, das mir sonst einfach erschien. Ich hatte eine Bitlocker Partition D: auf meinem C: Laufwerk installiert. Weil Windows ...

question
Mini PC lüfterlossurvial555Vor 1 TagFrageHardware8 Kommentare

Hallo zusammen, ich bin auf der Suche nach einer guten Lösung über System für staubintensive UmgebungenIch setzte zur Zeit 4 PCs in einem Lagerumfeld ein, ...

question
Online Kalender gesuchtStefanKittelVor 1 TagFrageInternet8 Kommentare

Hallo, ein Kunde von mir sucht einen Online-Kalender zur Raumreservierung. Keine Datenschutzrelevanten Informationen. Es geht um 3-4 Besprechungsräume in einem Gebäude wo mehrere Firmen sind. ...

info
(Gehäuse) Schutzklasse wie IP60 und was die Zahlen bedeutenSt-AndreasVor 1 TagInformationHardware4 Kommentare

Schutzklassen wie IP51 oder IP6X ließt man immer wieder mal, vor allem bei Gehäusen oder mobilen Geräten. Wenn man besondere Anforderungen an ein Gerät (staubdicht, ...

question
Nextcloud - out of syncRoadmaxVor 1 TagFrageCloud-Dienste3 Kommentare

Hallo Zusammen, wir betreiben eine eigene interne Nextcloud 15 Instanz auf einem Ubuntu 16.04 mit Apache und haben seit geraumer Zeit immer mehr Probleme. 1. ...

question
Netzwerkanmeldung auf ServermartenkVor 1 TagFrageWindows 1110 Kommentare

Hallo Gemeinschaft, habe einen Windows 11 Rechner, mit dem ich über VPN Scresoft ein Laufwerk von einem Server mappen möchte mit einem Windows 10 Rechner ...

question
Welchen Router, Board für Pfsense, OpenVPN? gelöst ROBCB19Vor 1 TagFrageRouter & Routing7 Kommentare

Hallo zusammen, ich suche Hardware für pfsense und Openvpn. Es sollten 10 VPN Verbindungen gleichzeitig möglich sein. Lese mich schon den 2ten Tag in die ...