4
Freeradius in Kombination mit Calling-Station-Id und Active Directory-Gruppenmitgliedschaft
Hallo zusammen,
ich habe mehrere WLAN-SSIDs welche ich über entsprechende Active Directory-Gruppen "absichern" möchte. D.h. nur
wenn ein Benutzer auch Mitglied in einer spezifischen Gruppe im Active Directory ist, darf er sich mit der entsprechenden
ID verbinden.
Ich habe bereits Freeradius auf einem Ubuntu-Server eingerichtet und die prinzipielle Abfrage von Benutzern und auch deren Authentifizierung funktioniert bereits.
Doch jetzt bräuchte ich etwas Unterstützung bei der Einbindung des Attributs "Calling-Station-Id". Die Anfragen seitens
des WLAN funktionieren bereits, man sieht woher eine Anfrage kommt und welcher Benutzer diese angefragt hat.
An welcher Stelle bringe ich Freeradius bei, bei einer Anfrage von z.B. 00-11-22-33-44-55:SSID1 die entsprechende Active Directory-Gruppe "GRP-SSID1" auf eine Mitgliedschaft des Benutzers und natürlich gültige Zugangsdaten abzufragen?
Danke vorab!
ich habe mehrere WLAN-SSIDs welche ich über entsprechende Active Directory-Gruppen "absichern" möchte. D.h. nur
wenn ein Benutzer auch Mitglied in einer spezifischen Gruppe im Active Directory ist, darf er sich mit der entsprechenden
ID verbinden.
Ich habe bereits Freeradius auf einem Ubuntu-Server eingerichtet und die prinzipielle Abfrage von Benutzern und auch deren Authentifizierung funktioniert bereits.
Doch jetzt bräuchte ich etwas Unterstützung bei der Einbindung des Attributs "Calling-Station-Id". Die Anfragen seitens
des WLAN funktionieren bereits, man sieht woher eine Anfrage kommt und welcher Benutzer diese angefragt hat.
An welcher Stelle bringe ich Freeradius bei, bei einer Anfrage von z.B. 00-11-22-33-44-55:SSID1 die entsprechende Active Directory-Gruppe "GRP-SSID1" auf eine Mitgliedschaft des Benutzers und natürlich gültige Zugangsdaten abzufragen?
Danke vorab!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7151032895
Url: https://administrator.de/contentid/7151032895
Printed on: April 28, 2024 at 06:04 o'clock
4 Comments
Latest comment
Nabend,
ich weiß, dass es nicht die Antwort auf deine Frage ist, aber: Was spricht dagegen, den NPS von Windows zu nutzen anstatt Freeradius? In der Verwaltungs-GUI des NPS lässt sich das recht einfach zusammenklicken und da ihr ein AD habt, ist auch bereits eine Windows Infrastruktur vorhanden. Vielleicht geht das schneller als eine Konfiguration mittels FreeRadius?
Gruß
Marcel
ich weiß, dass es nicht die Antwort auf deine Frage ist, aber: Was spricht dagegen, den NPS von Windows zu nutzen anstatt Freeradius? In der Verwaltungs-GUI des NPS lässt sich das recht einfach zusammenklicken und da ihr ein AD habt, ist auch bereits eine Windows Infrastruktur vorhanden. Vielleicht geht das schneller als eine Konfiguration mittels FreeRadius?
Gruß
Marcel
Hallo Marcel,
ich habe es bereits mit NPS versucht... funktioniert nur leider nicht. Egal wie ich es mache, wird mein Request abgelehnt - an der Konfiguration kann es eigentlich nicht liegen, dafür gibt es ja sehr, sehr viele Tutorials dazu. Selbst wenn ich die aller einfachste Policy konfiguriere, wird abgelehnt.
Jetzt würde ich das ganze doch mal gerne auf Freeradius-Basis versuchen.
Gruß
ich habe es bereits mit NPS versucht... funktioniert nur leider nicht. Egal wie ich es mache, wird mein Request abgelehnt - an der Konfiguration kann es eigentlich nicht liegen, dafür gibt es ja sehr, sehr viele Tutorials dazu. Selbst wenn ich die aller einfachste Policy konfiguriere, wird abgelehnt.
Jetzt würde ich das ganze doch mal gerne auf Freeradius-Basis versuchen.
Gruß
Moin,
vielleicht hilft Dir das hier weiter.
Auszug:
Gruß
Looser
vielleicht hilft Dir das hier weiter.
Auszug:
program = "/usr/bin/ntlm_auth --request-nt-key --domain=MYDOMAIN --require-membership-of=MYDOMAIN\WLAN --username=%{mschap:User-Name} --password=%{User-Password}" Gruß
Looser
Möglich auch das der TO ggf. einen Denkfehler begeht, denn die VSAs werden ja pro Gruppe definiert sofern es sich um Radius Gruppen handelt.
Wenn der Radius dann spezifische User diesen Gruppen zuordnen kann werden diese entsprechend als Reply gesendet.
Das hiesige Freeradius Tutorial zeigt es wenn auch ohne AD Anbindung aber anhand der Gruppen/Profile von VLANs oder zeitgesteuertem Zugang.
Wenn der Radius dann spezifische User diesen Gruppen zuordnen kann werden diese entsprechend als Reply gesendet.
Das hiesige Freeradius Tutorial zeigt es wenn auch ohne AD Anbindung aber anhand der Gruppen/Profile von VLANs oder zeitgesteuertem Zugang.
