Freeradius in Kombination mit Calling-Station-Id und Active Directory-Gruppenmitgliedschaft
Hallo zusammen,
ich habe mehrere WLAN-SSIDs welche ich über entsprechende Active Directory-Gruppen "absichern" möchte. D.h. nur
wenn ein Benutzer auch Mitglied in einer spezifischen Gruppe im Active Directory ist, darf er sich mit der entsprechenden
ID verbinden.
Ich habe bereits Freeradius auf einem Ubuntu-Server eingerichtet und die prinzipielle Abfrage von Benutzern und auch deren Authentifizierung funktioniert bereits.
Doch jetzt bräuchte ich etwas Unterstützung bei der Einbindung des Attributs "Calling-Station-Id". Die Anfragen seitens
des WLAN funktionieren bereits, man sieht woher eine Anfrage kommt und welcher Benutzer diese angefragt hat.
An welcher Stelle bringe ich Freeradius bei, bei einer Anfrage von z.B. 00-11-22-33-44-55:SSID1 die entsprechende Active Directory-Gruppe "GRP-SSID1" auf eine Mitgliedschaft des Benutzers und natürlich gültige Zugangsdaten abzufragen?
Danke vorab!
ich habe mehrere WLAN-SSIDs welche ich über entsprechende Active Directory-Gruppen "absichern" möchte. D.h. nur
wenn ein Benutzer auch Mitglied in einer spezifischen Gruppe im Active Directory ist, darf er sich mit der entsprechenden
ID verbinden.
Ich habe bereits Freeradius auf einem Ubuntu-Server eingerichtet und die prinzipielle Abfrage von Benutzern und auch deren Authentifizierung funktioniert bereits.
Doch jetzt bräuchte ich etwas Unterstützung bei der Einbindung des Attributs "Calling-Station-Id". Die Anfragen seitens
des WLAN funktionieren bereits, man sieht woher eine Anfrage kommt und welcher Benutzer diese angefragt hat.
An welcher Stelle bringe ich Freeradius bei, bei einer Anfrage von z.B. 00-11-22-33-44-55:SSID1 die entsprechende Active Directory-Gruppe "GRP-SSID1" auf eine Mitgliedschaft des Benutzers und natürlich gültige Zugangsdaten abzufragen?
Danke vorab!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7151032895
Url: https://administrator.de/forum/freeradius-in-kombination-mit-calling-station-id-und-active-directory-gruppenmitgliedschaft-7151032895.html
Ausgedruckt am: 23.12.2024 um 03:12 Uhr
4 Kommentare
Neuester Kommentar
Nabend,
ich weiß, dass es nicht die Antwort auf deine Frage ist, aber: Was spricht dagegen, den NPS von Windows zu nutzen anstatt Freeradius? In der Verwaltungs-GUI des NPS lässt sich das recht einfach zusammenklicken und da ihr ein AD habt, ist auch bereits eine Windows Infrastruktur vorhanden. Vielleicht geht das schneller als eine Konfiguration mittels FreeRadius?
Gruß
Marcel
ich weiß, dass es nicht die Antwort auf deine Frage ist, aber: Was spricht dagegen, den NPS von Windows zu nutzen anstatt Freeradius? In der Verwaltungs-GUI des NPS lässt sich das recht einfach zusammenklicken und da ihr ein AD habt, ist auch bereits eine Windows Infrastruktur vorhanden. Vielleicht geht das schneller als eine Konfiguration mittels FreeRadius?
Gruß
Marcel
Moin,
vielleicht hilft Dir das hier weiter.
Auszug:
Gruß
Looser
vielleicht hilft Dir das hier weiter.
Auszug:
program = "/usr/bin/ntlm_auth --request-nt-key --domain=MYDOMAIN --require-membership-of=MYDOMAIN\WLAN --username=%{mschap:User-Name} --password=%{User-Password}"
Gruß
Looser
Möglich auch das der TO ggf. einen Denkfehler begeht, denn die VSAs werden ja pro Gruppe definiert sofern es sich um Radius Gruppen handelt.
Wenn der Radius dann spezifische User diesen Gruppen zuordnen kann werden diese entsprechend als Reply gesendet.
Das hiesige Freeradius Tutorial zeigt es wenn auch ohne AD Anbindung aber anhand der Gruppen/Profile von VLANs oder zeitgesteuertem Zugang.
Wenn der Radius dann spezifische User diesen Gruppen zuordnen kann werden diese entsprechend als Reply gesendet.
Das hiesige Freeradius Tutorial zeigt es wenn auch ohne AD Anbindung aber anhand der Gruppen/Profile von VLANs oder zeitgesteuertem Zugang.