14
FreeRADIUS Active Directory PEAP-MSCHAPv2 mit LDAP Gruppenfilter
Hallo,
ich habe FreeRADIUS erfolgreich für die Authentifizierung mit Active Directory über ntlm_auth eingerichtet.
Nun möchte ich, dass nur eine bestimmte Gruppe aus dem AD Zugriff auf das WLAN hat.
Das sollte ja mittels LDAP-Modul möglich sein.
Leider weiss ich nicht wie ich das umsetzen kann und auch Google war mir bisher leider keine Hilfe.
Kann mir da jemand von Euch einen Tip geben?
Gruß paddix
ich habe FreeRADIUS erfolgreich für die Authentifizierung mit Active Directory über ntlm_auth eingerichtet.
Nun möchte ich, dass nur eine bestimmte Gruppe aus dem AD Zugriff auf das WLAN hat.
Das sollte ja mittels LDAP-Modul möglich sein.
Leider weiss ich nicht wie ich das umsetzen kann und auch Google war mir bisher leider keine Hilfe.
Kann mir da jemand von Euch einen Tip geben?
Gruß paddix
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 173303
Url: https://administrator.de/contentid/173303
Ausgedruckt am: 23.11.2024 um 01:11 Uhr
14 Kommentare
Neuester Kommentar
Das hast du gelesen ??
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Hi aqui,
ja, Deinen Beitrag habe ich gelesen. Es läuft ja auch schon alles supi, nur will ich den Zugriff auf eine Gruppe aus dem Active Directory beschränken.
Ich bin im Moment vom LDAP-Modul weg und teste mit ntlm_auth. Hier insbesondere den Parameter --require-membership-of=DOMÄNE/WLAN-ZUGRIFF ...
Kann das Funktionieren?
Über den ntlm_auth Befehl direkt, klappt das auch. Winbind listet auch alle Gruppen aus dem AD korrekt auf.
ntlm_auth --request-nt-key --username=NICHT_WLAN_NUTZER --require-membership-of=DOMÄNEWLAN-Zugriff
password:
NT_STATUS_LOGON_FAILURE: Logon failure (0xc000006d)
ntlm_auth --request-nt-key --username=WLAN_NUTZER --require-membership-of=DOMÄNEWLAN-Zugriff
password:
NT_STATUS_OK: Success (0x0)
Nur über Radius kann der NICHT_WLAN_NUTZER, sich trotzdem authentifizieren...
Auszug aus den ntlm_auth:
exec ntlm_auth {
wait = yes
program = "/usr/bin/ntlm_auth --request-nt-key --domain=DOMÄNE --require-membership-of='DOMÄNE/WLAN-Zugriff' --username=%{mschap:User-Name} --password=%{U$rd=%{User-Password}"
}
Fällt dir dazu was ein?
ja, Deinen Beitrag habe ich gelesen. Es läuft ja auch schon alles supi, nur will ich den Zugriff auf eine Gruppe aus dem Active Directory beschränken.
Ich bin im Moment vom LDAP-Modul weg und teste mit ntlm_auth. Hier insbesondere den Parameter --require-membership-of=DOMÄNE/WLAN-ZUGRIFF ...
Kann das Funktionieren?
Über den ntlm_auth Befehl direkt, klappt das auch. Winbind listet auch alle Gruppen aus dem AD korrekt auf.
ntlm_auth --request-nt-key --username=NICHT_WLAN_NUTZER --require-membership-of=DOMÄNEWLAN-Zugriff
password:
NT_STATUS_LOGON_FAILURE: Logon failure (0xc000006d)
ntlm_auth --request-nt-key --username=WLAN_NUTZER --require-membership-of=DOMÄNEWLAN-Zugriff
password:
NT_STATUS_OK: Success (0x0)
Nur über Radius kann der NICHT_WLAN_NUTZER, sich trotzdem authentifizieren...
Auszug aus den ntlm_auth:
exec ntlm_auth {
wait = yes
program = "/usr/bin/ntlm_auth --request-nt-key --domain=DOMÄNE --require-membership-of='DOMÄNE/WLAN-Zugriff' --username=%{mschap:User-Name} --password=%{U$rd=%{User-Password}"
}
Fällt dir dazu was ein?
Mal eine ganz dumme Frage:
Warum benutzt du FreeRADIUS, wenn AD einen RADIUS-Server onboard hat der das alles mit 5 Klicks kann???
Warum benutzt du FreeRADIUS, wenn AD einen RADIUS-Server onboard hat der das alles mit 5 Klicks kann???
Es handelt sich dabei um eine Projektarbeit. FreeRADIUS hat keine Einschränkungen im Vergleich zum Windows-RADIUS (50 clients), ist auf dem neusten Stand, er läuft hier läuft unter VMware ESXi nebst vielen anderen Linux-Systemen und benötigt kaum Recourcen.
@topic
Problem gelöst, geht alles supi! Die Lösung lag in der Anpassung der mschap Datei!
CLOSED.
@topic
Problem gelöst, geht alles supi! Die Lösung lag in der Anpassung der mschap Datei!
CLOSED.
Hallo Paddix,
wärst du bitte so nett und sagst uns noch, was genau geändert werden muss?
Gruß
Ch3p
wärst du bitte so nett und sagst uns noch, was genau geändert werden muss?
Gruß
Ch3p
Die Änderung in der CHAP Konfig Datei wäre wirklich mal spannend, denn das erzeugt hier immer und immer wieder Verwirrung !
Wäre also wirklich klasse wenn du das hier nochmal posten könntest !!
Wäre also wirklich klasse wenn du das hier nochmal posten könntest !!
Habe es durch probieren herausgefunden. Werde es morgen auf der Arbeit posten wenn ich nochmal Zugriff auf den Server habe.
Gruß
Ch3p
Gruß
Ch3p
Da der Thread ja schon etwas älter ist mal Vorweg: ich habe die Installation unter der aktuellsten LTS von Ubuntu (14.04) gemacht. Ich bin nach dieser Anleitung hier im Forum vorgegangen.
Um die Gruppenzugehörigkeit zu prüfen habe ich dann der Datei /etc/freeradius/modules/ntlm_auth bearbeitet folgende Abfrage hinzugefügt:
DOMÄNE und Gruppenname sind naturlich durch die Eigene Domain und Gruppe zu ersetzen. Wichtig ist hier das doppelte Backslash. Ohne das hat es nicht funktioniert.
Gruß
Ch3p
Um die Gruppenzugehörigkeit zu prüfen habe ich dann der Datei /etc/freeradius/modules/ntlm_auth bearbeitet folgende Abfrage hinzugefügt:
--require-membership-of=DOMÄNE\\GruppennameDOMÄNE und Gruppenname sind naturlich durch die Eigene Domain und Gruppe zu ersetzen. Wichtig ist hier das doppelte Backslash. Ohne das hat es nicht funktioniert.
Gruß
Ch3p
1
Das ist dann aber keine Änderung in der CHAP Konfig Datei, richtig ?!
Aber egal... Danke für das Feedback auf alle Fälle !
Aber egal... Danke für das Feedback auf alle Fälle !
Richtig. Es wird die ntml_auth Konfig angepasst. Die Änderung hat in der mschap Konfig nicht gegriffen. Bzw. hatte es zur Folge, dass für jeden User ein Reject kam. Jedenfalls funktioniert es für mein Vorhaben Wireless Clients zu Authentifizieren.
Es wird die ntml_auth Konfig angepasst
Was ist denn da geändert worden ?Oder entspricht das dem was oben bzw. in der verwendeten Anleitung steht ??
Es entspricht der verwendet Anleitung, die ich im letzten Post verlinkt habe (Punkt 3.6.). Lediglich wird der Datei ntml_auth der von mir genannte Zusatz im Befehl angefügt.
Die Configfiles von freeradius scheinen sich verändert zu haben. Man findet überall im Internet andere Pfadangeben zu den Files. Deswegen war mein Hinweis, dass ich die Anleitung anhand LTS 14.04 verwendet habe.
Die Configfiles von freeradius scheinen sich verändert zu haben. Man findet überall im Internet andere Pfadangeben zu den Files. Deswegen war mein Hinweis, dass ich die Anleitung anhand LTS 14.04 verwendet habe.
Man findet überall im Internet andere Pfadangeben zu den Files
Das hat aber nichts mit Freeradius als solchem zu tun sondern ist lediglich von der verwendeten Linux Distribution abhängig.Unterschiedliche Distributionen nutzen unterschiedliche Pfade wo sie die Konfig Dateien vorhalten. Das ist aber ein simples und eher kosmetische Problem mit dem jeder normale Unixer natürlich klarkommt....
Stimme ich dir zu. Aber bei Debian basierenden Systemen mit der Installation via apt-get, sind die Pfade eigentlich gleich. Ich meinte damit eigentlich, dass dich die Configs an sich geändert haben bzw freeradius eine andere bzw. neue Struktur unter /etc/freeradius hat. In anderen Anleitungen habe ich nämlich nichts von einem Modules-Ordner gesehen.
