3
Authentifizierung an Netzwerkport mit Unifi
Hallo liebe Kolleg:innen,
wir nutzen eine (mittlerweile recht große) Ubiquiti Unifi Umgebung, mit Richtfunkstrecken, Accesspoints und Switchen von klein bis groß. Dabei haben wir aktuell auch ein WLAN, an dem eine Authentifizierung mittel WPA-Enterprise am Radiusserver erfolgt.
Nun haben wir aber die Anforderung, auch ein paar Netzwerkports entprechend anzubieten. Der Port soll erst nach einer Authentifizierung mittels Zugangsdaten am Radiusserver nutzbar sein, um diesen nutzen zu können. Das dahinterliegende VLAN kann/soll bereits vorher geschaltet sein.
Ich finde aktuell bei Unifi/802.1x aber nur die Möglichkeit, eine Authentifizierung mittels MAC-Adresse am Radius erfolgen zu lassen und genau das ist hier leider nicht zulässig.
Viele Grüße,
Boris
wir nutzen eine (mittlerweile recht große) Ubiquiti Unifi Umgebung, mit Richtfunkstrecken, Accesspoints und Switchen von klein bis groß. Dabei haben wir aktuell auch ein WLAN, an dem eine Authentifizierung mittel WPA-Enterprise am Radiusserver erfolgt.
Nun haben wir aber die Anforderung, auch ein paar Netzwerkports entprechend anzubieten. Der Port soll erst nach einer Authentifizierung mittels Zugangsdaten am Radiusserver nutzbar sein, um diesen nutzen zu können. Das dahinterliegende VLAN kann/soll bereits vorher geschaltet sein.
Ich finde aktuell bei Unifi/802.1x aber nur die Möglichkeit, eine Authentifizierung mittels MAC-Adresse am Radius erfolgen zu lassen und genau das ist hier leider nicht zulässig.
Viele Grüße,
Boris
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 21306556828
Url: https://administrator.de/contentid/21306556828
Printed on: April 27, 2024 at 08:04 o'clock
3 Comments
Latest comment
Kann man bei Unifi nicht Radius User anlegen und mit entsprechenden Attributen verbinden?
Ansonsten (P)EAP mit was auch immer in Hintergrund. Wir kennen deinen Werkzeugkoffer nciht und die Unifis verlassen an der Stelle die Nische für die sie verkauft werden zu dem Preis.
Ansonsten (P)EAP mit was auch immer in Hintergrund. Wir kennen deinen Werkzeugkoffer nciht und die Unifis verlassen an der Stelle die Nische für die sie verkauft werden zu dem Preis.
Hi,
geht doch mit aktivierten 802.1x aktiviert am Switch und entsprechenden Radius-Profil. Am Radius/NPS-Server machst Du dann den Rest mit den Richtlinien, Prüfung Domänenmitgliedschaft des Rechners, Zertifikate etc. und dann entsprechende VLAN-Zuweisung.
Gibt genügend Tutorials für Ubis.
Gruß
Markus
geht doch mit aktivierten 802.1x aktiviert am Switch und entsprechenden Radius-Profil. Am Radius/NPS-Server machst Du dann den Rest mit den Richtlinien, Prüfung Domänenmitgliedschaft des Rechners, Zertifikate etc. und dann entsprechende VLAN-Zuweisung.
Gibt genügend Tutorials für Ubis.
Gruß
Markus
Gibt genügend Tutorials für Ubis.
Der TO hat aber (vermutlich) schon Recht was den .1x Support für Kupferports an LAN Switches betrifft. Hier beschreibt der Hersteller lediglich einfaches Mac Bypass (MAB), also rein nur die Authentisierung mit Mac Adressen nicht aber "richtiges" 802.1x mit Username/Passwort oder Zertifikaten. (Siehe dazu auch HIER)Kann man fast gar nicht glauben das solche Allerwelts Banalitäten dort nicht supportet sind. Allein auch MAB dann marketingtechnisch als 802.1x zu beschreiben ist gelinde gesagt frech.
Mittlerweile macht das jeder Chinaswitch vom Blödmarkt Grabbeltisch. Da rächt es sich dann wenn man vom Billigheimer kauft der einen dann obendrein auch noch in einen Vendor Lock zwingt.
1