venator
Goto Top

Authentifizierung an Netzwerkport mit Unifi

Hallo liebe Kolleg:innen,

wir nutzen eine (mittlerweile recht große) Ubiquiti Unifi Umgebung, mit Richtfunkstrecken, Accesspoints und Switchen von klein bis groß. Dabei haben wir aktuell auch ein WLAN, an dem eine Authentifizierung mittel WPA-Enterprise am Radiusserver erfolgt.
Nun haben wir aber die Anforderung, auch ein paar Netzwerkports entprechend anzubieten. Der Port soll erst nach einer Authentifizierung mittels Zugangsdaten am Radiusserver nutzbar sein, um diesen nutzen zu können. Das dahinterliegende VLAN kann/soll bereits vorher geschaltet sein.

Ich finde aktuell bei Unifi/802.1x aber nur die Möglichkeit, eine Authentifizierung mittels MAC-Adresse am Radius erfolgen zu lassen und genau das ist hier leider nicht zulässig.

Viele Grüße,
Boris

Content-Key: 21306556828

Url: https://administrator.de/contentid/21306556828

Printed on: February 29, 2024 at 23:02 o'clock

Mitglied: 8585324113
8585324113 Dec 08, 2023 at 15:05:05 (UTC)
Goto Top
Kann man bei Unifi nicht Radius User anlegen und mit entsprechenden Attributen verbinden?

Ansonsten (P)EAP mit was auch immer in Hintergrund. Wir kennen deinen Werkzeugkoffer nciht und die Unifis verlassen an der Stelle die Nische für die sie verkauft werden zu dem Preis.
Member: mmw2000
mmw2000 Dec 08, 2023 at 15:58:07 (UTC)
Goto Top
Hi,

geht doch mit aktivierten 802.1x aktiviert am Switch und entsprechenden Radius-Profil. Am Radius/NPS-Server machst Du dann den Rest mit den Richtlinien, Prüfung Domänenmitgliedschaft des Rechners, Zertifikate etc. und dann entsprechende VLAN-Zuweisung.

Gibt genügend Tutorials für Ubis.

Gruß
Markus
Member: aqui
aqui Dec 08, 2023, updated at Dec 09, 2023 at 13:05:38 (UTC)
Goto Top
Gibt genügend Tutorials für Ubis.
Der TO hat aber (vermutlich) schon Recht was den .1x Support für Kupferports an LAN Switches betrifft. Hier beschreibt der Hersteller lediglich einfaches Mac Bypass (MAB), also rein nur die Authentisierung mit Mac Adressen nicht aber "richtiges" 802.1x mit Username/Passwort oder Zertifikaten. (Siehe dazu auch HIER)
Kann man fast gar nicht glauben das solche Allerwelts Banalitäten dort nicht supportet sind. Allein auch MAB dann marketingtechnisch als 802.1x zu beschreiben ist gelinde gesagt frech.
Mittlerweile macht das jeder Chinaswitch vom Blödmarkt Grabbeltisch. Da rächt es sich dann wenn man vom Billigheimer kauft der einen dann obendrein auch noch in einen Vendor Lock zwingt. face-sad
Member: aqui
aqui Dec 30, 2023 at 11:53:02 (UTC)
Goto Top
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt markieren!
Wie kann ich einen Beitrag auf "gelöst" oder "erledigt" setzen?