11
Dynamisches VLAN über WLAN mit FreeRadius und AD
Hallo,
als Diplomarbeit sollen wir ein Funknetzwerk an unserer Schule realisieren. Dabei soll es den Benutzern ermöglicht werden, sich mit ihren Anmeldedaten aus dem AD der Schule am WLAN anmelden zu können. Das ganze sollte ursprünglich über den IAS Server gelöst werden. Da dieser aber nur 50 Clients in der Standardversion unterstützt, haben wir nun FreeRadius als Authentifizierungsserver entschieden.
Momentan funktioniert:
Es ist möglich, sich am WLAN mit einem Benutzer aus dem AD zu authentifizieren und so ins WLAN zu kommen. Der FreeRadius Server nimmt die Anfrage vom Client an, sendet sie an das AD weiter und der Client wird korrekt authentifiziert. Die Authentifizierung funktioniert somit einwandfrei.
Nun meine Frage:
Unser AP (Cisco 1242AG) kann ja mehrere SSIDs anlegen. Somit ist es z.B. möglich. folgendes Szenario zu realisieren:
SSID1: Schüler VLAN: 10
SSID2: Lehrer VLAN: 20
Dies haben wir auch schon realisiert und das ganze funktioniert auch so wie es soll. Allerdings habe ich gelesen, dass es auch möglich ist, dass der FreeRadius den Clients (aus der lokalen Client-DB) VLAN-IDs zuteilt wodurch dann z.B. nur eine einzige SSID "Schule" benötigt werden würde. Ist dies auch mit einem AD als Client-DB irgendwie möglich? Ich habe gelesen, dass man das irgendwie über Zertifikate oder der gleichen lösen kann ... ? Was haltet ihr davon?
Vielen Dank!
gruß
felix
als Diplomarbeit sollen wir ein Funknetzwerk an unserer Schule realisieren. Dabei soll es den Benutzern ermöglicht werden, sich mit ihren Anmeldedaten aus dem AD der Schule am WLAN anmelden zu können. Das ganze sollte ursprünglich über den IAS Server gelöst werden. Da dieser aber nur 50 Clients in der Standardversion unterstützt, haben wir nun FreeRadius als Authentifizierungsserver entschieden.
Momentan funktioniert:
Es ist möglich, sich am WLAN mit einem Benutzer aus dem AD zu authentifizieren und so ins WLAN zu kommen. Der FreeRadius Server nimmt die Anfrage vom Client an, sendet sie an das AD weiter und der Client wird korrekt authentifiziert. Die Authentifizierung funktioniert somit einwandfrei.
Nun meine Frage:
Unser AP (Cisco 1242AG) kann ja mehrere SSIDs anlegen. Somit ist es z.B. möglich. folgendes Szenario zu realisieren:
SSID1: Schüler VLAN: 10
SSID2: Lehrer VLAN: 20
Dies haben wir auch schon realisiert und das ganze funktioniert auch so wie es soll. Allerdings habe ich gelesen, dass es auch möglich ist, dass der FreeRadius den Clients (aus der lokalen Client-DB) VLAN-IDs zuteilt wodurch dann z.B. nur eine einzige SSID "Schule" benötigt werden würde. Ist dies auch mit einem AD als Client-DB irgendwie möglich? Ich habe gelesen, dass man das irgendwie über Zertifikate oder der gleichen lösen kann ... ? Was haltet ihr davon?
Vielen Dank!
gruß
felix
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 113535
Url: https://administrator.de/contentid/113535
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
nur zur Klarstellung:
mit Radius-Client meint der IAS die "Authenticator", also Radiusfähige Switches und AccessPoints und nicht die Benutzer.
Mit einem Standard-IAS kannst du also 50 APs bedienen.
Und mit dem IAS kannst du auch die VLAN-ID zuweisen:
http://technet.microsoft.com/de-de/library/cc783796.aspx
zu FreeRadius kann ich dir leider nicht helfen
Gruß,
Schorsch
nur zur Klarstellung:
mit Radius-Client meint der IAS die "Authenticator", also Radiusfähige Switches und AccessPoints und nicht die Benutzer.
Mit einem Standard-IAS kannst du also 50 APs bedienen.
Und mit dem IAS kannst du auch die VLAN-ID zuweisen:
http://technet.microsoft.com/de-de/library/cc783796.aspx
zu FreeRadius kann ich dir leider nicht helfen
Gruß,
Schorsch
Aber das Forum kann dir weiterhelfen.... !!
Freeradius Management mit WebGUI
Hier steht wie es genau mit dem Freeradius geht. Ist zwar für einen Switch geht aber analog auch bei APs !
Dynamisches Vlan bei Freeradius mit Alcatel switch
Freeradius Management mit WebGUI
Hier steht wie es genau mit dem Freeradius geht. Ist zwar für einen Switch geht aber analog auch bei APs !
Dynamisches Vlan bei Freeradius mit Alcatel switch
Hallo,
danke für deine überaus rasche Antwort!
Zum Thema:
@aqui
Die von dir beschriebene Anleitung ist leider nur für eine lokale User-DB (sofern ich mich nicht total irre!)
Danke!
gruß
felix
danke für deine überaus rasche Antwort!
Zum Thema:
Zitat von @DerSchorsch:
nur zur Klarstellung:
mit Radius-Client meint der IAS die "Authenticator", also
Radiusfähige Switches und AccessPoints und nicht die Benutzer.
Mit einem Standard-IAS kannst du also 50 APs bedienen.
Ok, da hab ich in dem Fall zu ungenau recherchiert. Trotzdem scheinen uns die 50 APs für unser Vorhaben zu knapp bemessen. Das ganze soll ja skalierbar sein.nur zur Klarstellung:
mit Radius-Client meint der IAS die "Authenticator", also
Radiusfähige Switches und AccessPoints und nicht die Benutzer.
Mit einem Standard-IAS kannst du also 50 APs bedienen.
Zitat von @DerSchorsch:
---
Und mit dem IAS kannst du auch die VLAN-ID zuweisen:
http://technet.microsoft.com/de-de/library/cc783796.aspx
Danke! Sehr tolle Anleitung. Wie es scheint ist es da auch möglich Anfragen an einen anderen Server (in meinem Fall FreeRadius) weiterleiten zu können ... Ob mir das was bringt weiß ich noch nicht.---
Und mit dem IAS kannst du auch die VLAN-ID zuweisen:
http://technet.microsoft.com/de-de/library/cc783796.aspx
@aqui
Die von dir beschriebene Anleitung ist leider nur für eine lokale User-DB (sofern ich mich nicht total irre!)
Danke!
gruß
felix
Nein, denn der Freeradius lässt sich problemlos mit Openldap koppeln und damit an den AD !
http://www.rrze.uni-erlangen.de/dienste/arbeiten-rechnen/linux/howtos/l ...
http://www.rrze.uni-erlangen.de/dienste/arbeiten-rechnen/linux/howtos/l ...
hallo,
ok. vielleicht bin ich ja wirklich zu blöd ...
Ich habe derzeit einen Freeradius erfolgreich konfiguriert. Dieser greift erfolgreich auf das AD zu.
Nun möchte ich wissen, ob es möglich ist, z.B. Benutzer mit der Gruppe "Schüler" ins VLAN10 zu stecken und Benutzer der Gruppe "Lehrer" ins VLAN20 zu stecken, wenn diese Benutzer im AD stehen. Die Verbindung zum AD hab ich ja bereits. Jetzt geht es mir nur noch um die Zuteilung der Benutzer aus dem AD in die verschiedenen VLANs. Sodass ich auf einfache Art und Weise und ohne aufwändiges von-hand-in-user-db-schreiben z.B. einer ganzen Gruppe sagen kann, dass diese in VLAN XYZ soll.
Ist das irgendwie möglich?
Danke!
gruß
felix
ok. vielleicht bin ich ja wirklich zu blöd ...
Ich habe derzeit einen Freeradius erfolgreich konfiguriert. Dieser greift erfolgreich auf das AD zu.
Nun möchte ich wissen, ob es möglich ist, z.B. Benutzer mit der Gruppe "Schüler" ins VLAN10 zu stecken und Benutzer der Gruppe "Lehrer" ins VLAN20 zu stecken, wenn diese Benutzer im AD stehen. Die Verbindung zum AD hab ich ja bereits. Jetzt geht es mir nur noch um die Zuteilung der Benutzer aus dem AD in die verschiedenen VLANs. Sodass ich auf einfache Art und Weise und ohne aufwändiges von-hand-in-user-db-schreiben z.B. einer ganzen Gruppe sagen kann, dass diese in VLAN XYZ soll.
Ist das irgendwie möglich?
Danke!
gruß
felix
Ja problemlos, denn dein Freeradius greift ja schon erfolgreich über das LDAP Modul (wie sollte es sonst anders gehen ?) auf den AD zu.
Damit kann er dann einfach alle Benutzer aus dem AD authentisieren und ihnen auch dynmaisch natürlich ein VLAN bzw. eine VLAN ID zuteilen.
Damit kann er dann einfach alle Benutzer aus dem AD authentisieren und ihnen auch dynmaisch natürlich ein VLAN bzw. eine VLAN ID zuteilen.
Hallo,
das klingt ja schon mal sehr gut. Nur wie mache ich das jetzt? Ich kann mir das ganze noch nicht so ganz vorstellen. Wird bei so einer Authentisierung irgend eine group-id vom AD mitgeschickt, anhand der man dem Freeradius dann sagen kann, dass er diesen Benutzer in VLAN 10 stellen soll?
Und wie/wo muss ich das dann im Freeradius konfigurieren?
Danke für eure Geduld!
gruß
felix
das klingt ja schon mal sehr gut. Nur wie mache ich das jetzt? Ich kann mir das ganze noch nicht so ganz vorstellen. Wird bei so einer Authentisierung irgend eine group-id vom AD mitgeschickt, anhand der man dem Freeradius dann sagen kann, dass er diesen Benutzer in VLAN 10 stellen soll?
Und wie/wo muss ich das dann im Freeradius konfigurieren?
Danke für eure Geduld!
gruß
felix
Eigentlich steht doch hier schon alles unter der Rubrik:
Teilweise müssen die Mappings der Attribute in der Datei /etc/freeradius/ldap.attrmap angepasst werden...
Das sind die Attribute Tunnel-Type, Tunnel-Medium-Type und speziell Tunnel-Private-Group-Id.
Letztere beinhaltet die VLAN ID zum User die an den AP geschickt wird.
Der AP tagged dann alle Pakete die passend zu dem an ihm konfigurierter SSID zu VLAN Beziehung stehen mit der angegebenen VLAN ID.
Das du dann ein tagged Interface auf den AP einrichten musst ist klar, aber das funktioniert ja eh schon bei euch wie du selber schreibst...
Teilweise müssen die Mappings der Attribute in der Datei /etc/freeradius/ldap.attrmap angepasst werden...
Das sind die Attribute Tunnel-Type, Tunnel-Medium-Type und speziell Tunnel-Private-Group-Id.
Letztere beinhaltet die VLAN ID zum User die an den AP geschickt wird.
Der AP tagged dann alle Pakete die passend zu dem an ihm konfigurierter SSID zu VLAN Beziehung stehen mit der angegebenen VLAN ID.
Das du dann ein tagged Interface auf den AP einrichten musst ist klar, aber das funktioniert ja eh schon bei euch wie du selber schreibst...
hallo,
wenn ich jetzt die Attribute Tunnel-Type, Tunnel-Medium-Type und Tunnel-Private-Group-Id unter /etc/freeradius/ldap.attrmap angepasst habe, sagt dies dem Freeradius-Server, dass er die VLAN Tags hinzufügen soll? Das lass ich mir einreden.
Was mir aber immernoch nicht klar ist: Wo, an welcher Stelle sage ich, welche GRUPPE in welches VLAN gehört. Ich kann doch nicht in der users-Datei 1500 Benutzer einzeln mit VLANs versehen. Gibt es da im AD irgendeine Einstellung oder sowas?
Danke
gruß
felix
wenn ich jetzt die Attribute Tunnel-Type, Tunnel-Medium-Type und Tunnel-Private-Group-Id unter /etc/freeradius/ldap.attrmap angepasst habe, sagt dies dem Freeradius-Server, dass er die VLAN Tags hinzufügen soll? Das lass ich mir einreden.
Was mir aber immernoch nicht klar ist: Wo, an welcher Stelle sage ich, welche GRUPPE in welches VLAN gehört. Ich kann doch nicht in der users-Datei 1500 Benutzer einzeln mit VLANs versehen. Gibt es da im AD irgendeine Einstellung oder sowas?
Danke
gruß
felix
Hallo zusammen,
genau an DEM Punkt häng ich auch gerade.
Hat da jemand ne Lösung für uns/mich?
Vielen Dank!
Sven.
genau an DEM Punkt häng ich auch gerade.
Hat da jemand ne Lösung für uns/mich?
Vielen Dank!
Sven.
Die Doku war mal wieder nicht verfügbar:
hier der neue Link:
http://felixthec.at/air09_dokumentation.pdf
gruß
felix
hier der neue Link:
http://felixthec.at/air09_dokumentation.pdf
gruß
felix
