Freeradius - Ein Zertifikat pro Benutzer?
Hallo allerseits,
ich beschäftige mich derzeit mit dem Freeradius-Serverdienst auf OpenSUSE und habe bisher relativ erfolgreich erste Versuche gewagt. Bisher regel ich den Zugang mit der clients.conf und der users.conf.. Wie in mehreren Tutorials hier auch schon super beschrieben wurde. Tests mit WLAN-Accesspoints waren auch erfolgreich. Doch ich möchte den Dienst noch umfangreicher und sicherer gestalten, und zwar mit mehreren Zertifikaten.
Mein Ziel ist es innerhalb eines Betriebes mit mehreren Netzen für jeden Benutzer einzigartige Zugangsdaten zur Verfügung zu stellen und gewährleisten, dass wirklich nur er diese Daten nutzen kann und niemand anderes. Also könnte man theoretisch pro Benutzer ein Zertifikat erstellen. Ist dies möglich? Zwar wäre das zu Beginn viel Aufwand, würde sich später sicher als nützlich erweisen. Zudem würden wir dieses Zertifikat nicht lokal, sondern auf einen USB-Stick oder eToken speichern oder ein bereits vorhandenes verwenden wollen. Somit könnte jemand nur Zugang zum Netzwerk erlangen, der sich den Token unter den Nagel gerissen hat und sogar das Passwort von dem Zugangskonto verfügt.
Ich hoffe ich habe mein Anliegen halbwegs verständlich geschildert.
Danke im Voraus!
ich beschäftige mich derzeit mit dem Freeradius-Serverdienst auf OpenSUSE und habe bisher relativ erfolgreich erste Versuche gewagt. Bisher regel ich den Zugang mit der clients.conf und der users.conf.. Wie in mehreren Tutorials hier auch schon super beschrieben wurde. Tests mit WLAN-Accesspoints waren auch erfolgreich. Doch ich möchte den Dienst noch umfangreicher und sicherer gestalten, und zwar mit mehreren Zertifikaten.
Mein Ziel ist es innerhalb eines Betriebes mit mehreren Netzen für jeden Benutzer einzigartige Zugangsdaten zur Verfügung zu stellen und gewährleisten, dass wirklich nur er diese Daten nutzen kann und niemand anderes. Also könnte man theoretisch pro Benutzer ein Zertifikat erstellen. Ist dies möglich? Zwar wäre das zu Beginn viel Aufwand, würde sich später sicher als nützlich erweisen. Zudem würden wir dieses Zertifikat nicht lokal, sondern auf einen USB-Stick oder eToken speichern oder ein bereits vorhandenes verwenden wollen. Somit könnte jemand nur Zugang zum Netzwerk erlangen, der sich den Token unter den Nagel gerissen hat und sogar das Passwort von dem Zugangskonto verfügt.
Ich hoffe ich habe mein Anliegen halbwegs verständlich geschildert.
Danke im Voraus!
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 183934
Url: https://administrator.de/forum/freeradius-ein-zertifikat-pro-benutzer-183934.html
Ausgedruckt am: 24.04.2025 um 19:04 Uhr
5 Kommentare
Neuester Kommentar
Ja, natürlich ist das problemlos möglich. Man generiert die Zertifikate mit OpenSSL oder sofern man einen Winblows Server mit AD hat dort mit dem certsrv.
Importiert diese Zertifikate und schaltet den .1x Client auf dem Rechner auf Token und Zertifikatsbetrieb...das wars.
http://bryanhinton.com/radius-and-802.1x
http://www.cs.umd.edu/~mvanopst/8021x/howto/client.html
Importiert diese Zertifikate und schaltet den .1x Client auf dem Rechner auf Token und Zertifikatsbetrieb...das wars.
http://bryanhinton.com/radius-and-802.1x
http://www.cs.umd.edu/~mvanopst/8021x/howto/client.html
Schon mal danke für die schnelle Antwort, allerdings komme ich mit dem ersten Tutorial gar nicht zurecht... Kann wohl daran liegen, dass ich noch der totale Linux-Anfänger bin ..
Sind all diese Schritte nur für EIN Zertifikat notwendig? Gibt es vllt eine Alternative? Hab schon kräftig gesucht, aber im Endeffekt nichts passendes gefunden, was mir helfen könnte..
Oder anders.... Wie kann ich denn eine MySQL-Datenbank unter den RADIUS-Server klemmen? Wäre diese dann praktisch nur ein Ersatz für die "users.conf"? Kann man auch beim freeradius bestimmen, dass der Zugang z.B nach 3 fehlgeschlagenen Versuchen für eine Stunde gesperrt ist?
Sind all diese Schritte nur für EIN Zertifikat notwendig? Gibt es vllt eine Alternative? Hab schon kräftig gesucht, aber im Endeffekt nichts passendes gefunden, was mir helfen könnte..
Oder anders.... Wie kann ich denn eine MySQL-Datenbank unter den RADIUS-Server klemmen? Wäre diese dann praktisch nur ein Ersatz für die "users.conf"? Kann man auch beim freeradius bestimmen, dass der Zugang z.B nach 3 fehlgeschlagenen Versuchen für eine Stunde gesperrt ist?
Besorg dir ein OpenSSL Buch oder frag Dr. Google. Dia gibt es zuhauf Anleitungen dazu. Mit Linux hat einen Zertifikats Erstellung nicht das geringste zu tun, da machst du irgendwie einen Denkfehler....
Du musst für jeden User entweder mit OpenSSL oder Winblows ein Client Zertifikat erstellen. Genau das wolltest du ja auch ?!
Wie du die MySQL Datenbank unter FreeRadius einbindest findest du auf der FreeRadius.org Webseite mit diversen Tutorials beschrieben oder auch wieder bei Dr. Google denn dafür gibt es tausendfach Dokumente im Netz da das eine weltweit verbreitete simple Standardkonfig ist !
Du musst für jeden User entweder mit OpenSSL oder Winblows ein Client Zertifikat erstellen. Genau das wolltest du ja auch ?!
Wie du die MySQL Datenbank unter FreeRadius einbindest findest du auf der FreeRadius.org Webseite mit diversen Tutorials beschrieben oder auch wieder bei Dr. Google denn dafür gibt es tausendfach Dokumente im Netz da das eine weltweit verbreitete simple Standardkonfig ist !
Nun gut, ich bin bisher immer noch nicht weiter gekommen, hatte allerdings auch wenig Zeit dafür..
Folgendes:
Wir haben in unserer Firma eToken-USB-Sticks mit vorgefertigten Zertifikaten drauf, die wir beliebig exportieren können. Nun kam uns die Idee, dass man die Zertifikate auf dem eToken für die Authentifizierung am RADIUS-Server verwendet, damit WLAN-Clients dann überhaupt Zugriff ins Netz haben können. Sprich, eToken nicht drin = keine Verbindung zum WLAN möglich. Könnte es theoretisch bedeuten, dass wir jedes einzelne Zertifikat von jedem eToken exportieren und auf den RADIUS-Server übertragen müssen? Ist das überhaupt möglich den Server mit diesen Zertifikaten lauffähig zu machen?
Folgendes:
Wir haben in unserer Firma eToken-USB-Sticks mit vorgefertigten Zertifikaten drauf, die wir beliebig exportieren können. Nun kam uns die Idee, dass man die Zertifikate auf dem eToken für die Authentifizierung am RADIUS-Server verwendet, damit WLAN-Clients dann überhaupt Zugriff ins Netz haben können. Sprich, eToken nicht drin = keine Verbindung zum WLAN möglich. Könnte es theoretisch bedeuten, dass wir jedes einzelne Zertifikat von jedem eToken exportieren und auf den RADIUS-Server übertragen müssen? Ist das überhaupt möglich den Server mit diesen Zertifikaten lauffähig zu machen?
Ja, das geht. Von allen am Markt befindlichen e-Token Herstellern gibt es ein Plugin für FreeRadius was das automatisiert.
Diese Software wird installiert und erzeugt dann automatisch im Server die passenden Zertifikate. Das ist genereller Standard schon seit Jahren für diese e-Tokens.
Diese Software wird installiert und erzeugt dann automatisch im Server die passenden Zertifikate. Das ist genereller Standard schon seit Jahren für diese e-Tokens.
