4
Freeradius mit AD-Anbindung - Gruppen- und Deviceunterscheidung
Hallo an alle,
wir wollen für unsere Umgebung einen Radiusserver aufbauen. Großes Kriterium, welches erfüllt werden soll ist, dass der Server AD-Gruppen und anfragende Geräte unterscheiden können soll.
Zum Beispiel:
Alle Gruppenmitglieder der Gruppe NOC sollen nur auf Netzwerkgeräte zugreifen dürfen,
alle Gruppenmitglieder der Gruppe Linux sollen nur auf Linux-Server zugreifen dürfen,
usw.
Der Grundaufbau und die Anbindung ans AD ist bereits geschehen, nun stellt sich für mich die Frage, wie ich es einrichte, dass verschiedene Geräte gegen verschiedene AD-Gruppen authentifiziert werden. Kann das Port- bzw. IP-basiert eingerichtet werden, o.Ä.?
Danke im Voraus und viele Grüße
wir wollen für unsere Umgebung einen Radiusserver aufbauen. Großes Kriterium, welches erfüllt werden soll ist, dass der Server AD-Gruppen und anfragende Geräte unterscheiden können soll.
Zum Beispiel:
Alle Gruppenmitglieder der Gruppe NOC sollen nur auf Netzwerkgeräte zugreifen dürfen,
alle Gruppenmitglieder der Gruppe Linux sollen nur auf Linux-Server zugreifen dürfen,
usw.
Der Grundaufbau und die Anbindung ans AD ist bereits geschehen, nun stellt sich für mich die Frage, wie ich es einrichte, dass verschiedene Geräte gegen verschiedene AD-Gruppen authentifiziert werden. Kann das Port- bzw. IP-basiert eingerichtet werden, o.Ä.?
Danke im Voraus und viele Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 378920
Url: https://administrator.de/contentid/378920
Ausgedruckt am: 19.11.2024 um 15:11 Uhr
4 Kommentare
Neuester Kommentar
Oder diese...:
Netzwerk Management Server mit Raspberry Pi
Netzwerk Management Server mit Raspberry Pi
Man kann die Daten aber auch über LDAP am AD abholen.
Beide Varianten funktionieren fehlerlos mit dem FreeRadius.
Netzwerk Management Server mit Raspberry Pi
Netzwerk Management Server mit Raspberry Pi
Man kann die Daten aber auch über LDAP am AD abholen.
Beide Varianten funktionieren fehlerlos mit dem FreeRadius.
Hi an alle und erst mal danke für die schnellen Antworten.
@Looser27
Jop, diese Anleitung hab ich für die Installation hergenommen.
@aqui
Diese Anleitungen waren mir auch bekannt.
Das Integrieren des Freeradius in die Domäne klappt auch soweit. Mir geht es eher darum, ob es einen Weg gibt, Geräte "Authentisierungsgruppen" zuzuordnen. Zum Beispiel:
Benutzer die sich an Geräten aus dem Netz 192.168.1.0/24 anmelden wollen, werden nach der Gruppe1 im AD authentisiert.
Benutzer die sich an Geräten aus dem Netz 192.168.2.0/24 anmelden wollen, werden nach der Gruppe2 im AD authentisiert.
usw...
Mir wäre die Unterscheidung egal, ob IP, MAC, etc. Aktuell sehe ich es so, dass ich lediglich eine Gruppe im AD anlegen kann auf die der Radius zugreift, egal ob ein Router oder ein LinuxServer anfrägt.
Liege ich da richtig oder gibts irgend ne versteckte Option o.ä. wo ich sowas aufteilen kann?
Danke und viele Grüße
@Looser27
Jop, diese Anleitung hab ich für die Installation hergenommen.
@aqui
Diese Anleitungen waren mir auch bekannt.
Das Integrieren des Freeradius in die Domäne klappt auch soweit. Mir geht es eher darum, ob es einen Weg gibt, Geräte "Authentisierungsgruppen" zuzuordnen. Zum Beispiel:
Benutzer die sich an Geräten aus dem Netz 192.168.1.0/24 anmelden wollen, werden nach der Gruppe1 im AD authentisiert.
Benutzer die sich an Geräten aus dem Netz 192.168.2.0/24 anmelden wollen, werden nach der Gruppe2 im AD authentisiert.
usw...
Mir wäre die Unterscheidung egal, ob IP, MAC, etc. Aktuell sehe ich es so, dass ich lediglich eine Gruppe im AD anlegen kann auf die der Radius zugreift, egal ob ein Router oder ein LinuxServer anfrägt.
Liege ich da richtig oder gibts irgend ne versteckte Option o.ä. wo ich sowas aufteilen kann?
Danke und viele Grüße
Die Zugriffe stellst Du über die AD-Gruppen ein. Mit Computern habe ich das noch nicht gebaut, sollte aber analog zu den Usern funktionieren.
Wenn Du mehrere Netze hast, musst Du die "Clients" Datei entsprechend anpassen.
Wenn Du mehrere Netze hast, musst Du die "Clients" Datei entsprechend anpassen.
