4
Freeradius mit AD-Anbindung - Gruppen- und Deviceunterscheidung
Hallo an alle,
wir wollen für unsere Umgebung einen Radiusserver aufbauen. Großes Kriterium, welches erfüllt werden soll ist, dass der Server AD-Gruppen und anfragende Geräte unterscheiden können soll.
Zum Beispiel:
Alle Gruppenmitglieder der Gruppe NOC sollen nur auf Netzwerkgeräte zugreifen dürfen,
alle Gruppenmitglieder der Gruppe Linux sollen nur auf Linux-Server zugreifen dürfen,
usw.
Der Grundaufbau und die Anbindung ans AD ist bereits geschehen, nun stellt sich für mich die Frage, wie ich es einrichte, dass verschiedene Geräte gegen verschiedene AD-Gruppen authentifiziert werden. Kann das Port- bzw. IP-basiert eingerichtet werden, o.Ä.?
Danke im Voraus und viele Grüße
wir wollen für unsere Umgebung einen Radiusserver aufbauen. Großes Kriterium, welches erfüllt werden soll ist, dass der Server AD-Gruppen und anfragende Geräte unterscheiden können soll.
Zum Beispiel:
Alle Gruppenmitglieder der Gruppe NOC sollen nur auf Netzwerkgeräte zugreifen dürfen,
alle Gruppenmitglieder der Gruppe Linux sollen nur auf Linux-Server zugreifen dürfen,
usw.
Der Grundaufbau und die Anbindung ans AD ist bereits geschehen, nun stellt sich für mich die Frage, wie ich es einrichte, dass verschiedene Geräte gegen verschiedene AD-Gruppen authentifiziert werden. Kann das Port- bzw. IP-basiert eingerichtet werden, o.Ä.?
Danke im Voraus und viele Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 378920
Url: https://administrator.de/contentid/378920
Printed on: April 19, 2024 at 19:04 o'clock
4 Comments
Latest comment
Oder diese...:
Netzwerk Management Server mit Raspberry Pi
Netzwerk Management Server mit Raspberry Pi
Man kann die Daten aber auch über LDAP am AD abholen.
Beide Varianten funktionieren fehlerlos mit dem FreeRadius.
Netzwerk Management Server mit Raspberry Pi
Netzwerk Management Server mit Raspberry Pi
Man kann die Daten aber auch über LDAP am AD abholen.
Beide Varianten funktionieren fehlerlos mit dem FreeRadius.
Hi an alle und erst mal danke für die schnellen Antworten.
@Looser27
Jop, diese Anleitung hab ich für die Installation hergenommen.
@aqui
Diese Anleitungen waren mir auch bekannt.
Das Integrieren des Freeradius in die Domäne klappt auch soweit. Mir geht es eher darum, ob es einen Weg gibt, Geräte "Authentisierungsgruppen" zuzuordnen. Zum Beispiel:
Benutzer die sich an Geräten aus dem Netz 192.168.1.0/24 anmelden wollen, werden nach der Gruppe1 im AD authentisiert.
Benutzer die sich an Geräten aus dem Netz 192.168.2.0/24 anmelden wollen, werden nach der Gruppe2 im AD authentisiert.
usw...
Mir wäre die Unterscheidung egal, ob IP, MAC, etc. Aktuell sehe ich es so, dass ich lediglich eine Gruppe im AD anlegen kann auf die der Radius zugreift, egal ob ein Router oder ein LinuxServer anfrägt.
Liege ich da richtig oder gibts irgend ne versteckte Option o.ä. wo ich sowas aufteilen kann?
Danke und viele Grüße
@Looser27
Jop, diese Anleitung hab ich für die Installation hergenommen.
@aqui
Diese Anleitungen waren mir auch bekannt.
Das Integrieren des Freeradius in die Domäne klappt auch soweit. Mir geht es eher darum, ob es einen Weg gibt, Geräte "Authentisierungsgruppen" zuzuordnen. Zum Beispiel:
Benutzer die sich an Geräten aus dem Netz 192.168.1.0/24 anmelden wollen, werden nach der Gruppe1 im AD authentisiert.
Benutzer die sich an Geräten aus dem Netz 192.168.2.0/24 anmelden wollen, werden nach der Gruppe2 im AD authentisiert.
usw...
Mir wäre die Unterscheidung egal, ob IP, MAC, etc. Aktuell sehe ich es so, dass ich lediglich eine Gruppe im AD anlegen kann auf die der Radius zugreift, egal ob ein Router oder ein LinuxServer anfrägt.
Liege ich da richtig oder gibts irgend ne versteckte Option o.ä. wo ich sowas aufteilen kann?
Danke und viele Grüße
Die Zugriffe stellst Du über die AD-Gruppen ein. Mit Computern habe ich das noch nicht gebaut, sollte aber analog zu den Usern funktionieren.
Wenn Du mehrere Netze hast, musst Du die "Clients" Datei entsprechend anpassen.
Wenn Du mehrere Netze hast, musst Du die "Clients" Datei entsprechend anpassen.
