venator
Goto Top

Authentifizierung an Netzwerkport mit Unifi

Hallo liebe Kolleg:innen,

wir nutzen eine (mittlerweile recht große) Ubiquiti Unifi Umgebung, mit Richtfunkstrecken, Accesspoints und Switchen von klein bis groß. Dabei haben wir aktuell auch ein WLAN, an dem eine Authentifizierung mittel WPA-Enterprise am Radiusserver erfolgt.
Nun haben wir aber die Anforderung, auch ein paar Netzwerkports entprechend anzubieten. Der Port soll erst nach einer Authentifizierung mittels Zugangsdaten am Radiusserver nutzbar sein, um diesen nutzen zu können. Das dahinterliegende VLAN kann/soll bereits vorher geschaltet sein.

Ich finde aktuell bei Unifi/802.1x aber nur die Möglichkeit, eine Authentifizierung mittels MAC-Adresse am Radius erfolgen zu lassen und genau das ist hier leider nicht zulässig.

Viele Grüße,
Boris

Content-ID: 21306556828

Url: https://administrator.de/contentid/21306556828

Ausgedruckt am: 05.11.2024 um 02:11 Uhr

8585324113
8585324113 08.12.2023 um 16:05:05 Uhr
Goto Top
Kann man bei Unifi nicht Radius User anlegen und mit entsprechenden Attributen verbinden?

Ansonsten (P)EAP mit was auch immer in Hintergrund. Wir kennen deinen Werkzeugkoffer nciht und die Unifis verlassen an der Stelle die Nische für die sie verkauft werden zu dem Preis.
mmw2000
mmw2000 08.12.2023 um 16:58:07 Uhr
Goto Top
Hi,

geht doch mit aktivierten 802.1x aktiviert am Switch und entsprechenden Radius-Profil. Am Radius/NPS-Server machst Du dann den Rest mit den Richtlinien, Prüfung Domänenmitgliedschaft des Rechners, Zertifikate etc. und dann entsprechende VLAN-Zuweisung.

Gibt genügend Tutorials für Ubis.

Gruß
Markus
aqui
Lösung aqui 08.12.2023, aktualisiert am 09.12.2023 um 14:05:38 Uhr
Goto Top
Gibt genügend Tutorials für Ubis.
Der TO hat aber (vermutlich) schon Recht was den .1x Support für Kupferports an LAN Switches betrifft. Hier beschreibt der Hersteller lediglich einfaches Mac Bypass (MAB), also rein nur die Authentisierung mit Mac Adressen nicht aber "richtiges" 802.1x mit Username/Passwort oder Zertifikaten. (Siehe dazu auch HIER)
Kann man fast gar nicht glauben das solche Allerwelts Banalitäten dort nicht supportet sind. Allein auch MAB dann marketingtechnisch als 802.1x zu beschreiben ist gelinde gesagt frech.
Mittlerweile macht das jeder Chinaswitch vom Blödmarkt Grabbeltisch. Da rächt es sich dann wenn man vom Billigheimer kauft der einen dann obendrein auch noch in einen Vendor Lock zwingt. face-sad