Freeradius Server ohne Zertifikate betreiben
Hallo an Alle,
nach langer Zeit stehe ich mal wieder vor einem Problem. Auf der Basis von Suse 12.2 habe ich einen Freeradius Server installiert. Dieser soll für etwa 500 Personen (Bildungsinstitut) den zugang zum Internet über eine User/Passwort-Abfrage regeln. In vielen Beiträgen habe ich gelesen, dass dabei ein Zertifikat Userseits "eingelesen" werden muss. Dies - so denke ich - wird unsere Klientel eventuell "überfordern".
Für uns wäre eine Lösung sinnvoll, die lediglich Benutzername und Passwort abfragt, um per Laptop oder per Handy in's Internet zu gelangen.
Meine Frage also: Welche Einstellungen sind unter Freeradius vorzunehmen, um die Zertifikate-Problematik zu umgehen?
Zusatz: Ein Zertifikat habe ich serverseits schon erstellt und auf einem Stick gespeichert. Aber eine Verteilung auf 500 Personen - schwierig.
Gruß Hakam (immer noch Frischling)
nach langer Zeit stehe ich mal wieder vor einem Problem. Auf der Basis von Suse 12.2 habe ich einen Freeradius Server installiert. Dieser soll für etwa 500 Personen (Bildungsinstitut) den zugang zum Internet über eine User/Passwort-Abfrage regeln. In vielen Beiträgen habe ich gelesen, dass dabei ein Zertifikat Userseits "eingelesen" werden muss. Dies - so denke ich - wird unsere Klientel eventuell "überfordern".
Für uns wäre eine Lösung sinnvoll, die lediglich Benutzername und Passwort abfragt, um per Laptop oder per Handy in's Internet zu gelangen.
Meine Frage also: Welche Einstellungen sind unter Freeradius vorzunehmen, um die Zertifikate-Problematik zu umgehen?
Zusatz: Ein Zertifikat habe ich serverseits schon erstellt und auf einem Stick gespeichert. Aber eine Verteilung auf 500 Personen - schwierig.
Gruß Hakam (immer noch Frischling)
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 232716
Url: https://administrator.de/forum/freeradius-server-ohne-zertifikate-betreiben-232716.html
Ausgedruckt am: 27.04.2025 um 03:04 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
warum nimmst Du nicht einen Squid HTTP Proxy an dem
man sich einfach via Name & Passwort anmelden kann
und dann surfen kann? Squi & Squidguard sind Deine
Freunde in so einem Fall.
Der Proxy Kommt hinter die Firewall oder den Router
oder vor den LAN Switch und dann geht es los.
Wenn die 500 Zertifikate des Radius Servers verteilt sind
und die Verschlüsselung aktiviert ist, wird es Euch so oder
so einen ordentlichen "Schlag" auf LAN Kabel in Euer Netzwerk
"hauen" denn so etwas erzeugt eine enorme Last und die übrigen
Netzwerkkomponenten sollten so einer zusätzlichen Last auch
gewchsen sein!!!!
Gruß
Dobby
warum nimmst Du nicht einen Squid HTTP Proxy an dem
man sich einfach via Name & Passwort anmelden kann
und dann surfen kann? Squi & Squidguard sind Deine
Freunde in so einem Fall.
Der Proxy Kommt hinter die Firewall oder den Router
oder vor den LAN Switch und dann geht es los.
Wenn die 500 Zertifikate des Radius Servers verteilt sind
und die Verschlüsselung aktiviert ist, wird es Euch so oder
so einen ordentlichen "Schlag" auf LAN Kabel in Euer Netzwerk
"hauen" denn so etwas erzeugt eine enorme Last und die übrigen
Netzwerkkomponenten sollten so einer zusätzlichen Last auch
gewchsen sein!!!!
Gruß
Dobby
Hallo Dobby
Vielen Dank für Deine Antwort. squid unter Suse 12.2 war auch meine erste Idee. Ich hatte dort das Problem, aus der Squid.conf heraus eine externe Benutzerdatei (Benutzername, Passwort) aufzurufen. So landete ich dann in einem Linux-Forum und prompt empfahl man mir den Einsatz von Freeradius. Du siehst, man wird hin und her geschickt.
Ich finde auch, dass die reine Squidlösung einfacher ist und funktionieren müsste. Nun bin ich ein Linux-Frischling, habe Squid 3.?? installiert und kenne auch die Auth_param-Zeilen, die notwendig sind. Nur möchte ich in die Squid.conf keine Benutzer eintragen, sondern die Benutzerdatei aus der Squid.conf heraus aufrufen. Sie sollte unter Suse 12.2 z.B. im Ordner "/etc/sbin" gespeichert werden. An dieser Aufruf-Zeile war ich die ganze Zeit am "basteln", bis die Freeradius-Empfehlung kam.
Außerdem weiß ich auch nicht, in welchem Format eine externe (nicht in Squid.conf enthaltene) Benutzerauthentifizierungsdatei unter Linux vorliegen muss (CSV???) Solltest Du dieses Wissen haben, wäre ich froh, diese Informationen zu erhalten. So könnte ich mich wider auf meinen ursprünglichen Weg begeben.
Gruß Hakam
Vielen Dank für Deine Antwort. squid unter Suse 12.2 war auch meine erste Idee. Ich hatte dort das Problem, aus der Squid.conf heraus eine externe Benutzerdatei (Benutzername, Passwort) aufzurufen. So landete ich dann in einem Linux-Forum und prompt empfahl man mir den Einsatz von Freeradius. Du siehst, man wird hin und her geschickt.
Ich finde auch, dass die reine Squidlösung einfacher ist und funktionieren müsste. Nun bin ich ein Linux-Frischling, habe Squid 3.?? installiert und kenne auch die Auth_param-Zeilen, die notwendig sind. Nur möchte ich in die Squid.conf keine Benutzer eintragen, sondern die Benutzerdatei aus der Squid.conf heraus aufrufen. Sie sollte unter Suse 12.2 z.B. im Ordner "/etc/sbin" gespeichert werden. An dieser Aufruf-Zeile war ich die ganze Zeit am "basteln", bis die Freeradius-Empfehlung kam.
Außerdem weiß ich auch nicht, in welchem Format eine externe (nicht in Squid.conf enthaltene) Benutzerauthentifizierungsdatei unter Linux vorliegen muss (CSV???) Solltest Du dieses Wissen haben, wäre ich froh, diese Informationen zu erhalten. So könnte ich mich wider auf meinen ursprünglichen Weg begeben.
Gruß Hakam
Du musst das Zertikikat nicht zwingend installieren. Im Client kannst du die Zertifikat Überprüfung wegklicken (abwählen). Siehe Beschreibung im hiesigen Tutorial:
Freeradius Management mit WebGUI
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Damit ist dann das Zertifikat obsolet.
Damit besteht allerdings dann die Gefahr das den Clients jeder beliebige Radius "untergeschoben" werden die dann alles authentisieren.
Damit hebelst du eigentlich den tieferen Sinne eines Radius aus, was du dir sicher selber denken kannst. Zur Vereinfachung ist das aber möglich wenn du mit diesem gravierenden Nachteil leben kanst und es dir nur um eine zntralisierte User Verwaltung geht !
Freeradius Management mit WebGUI
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Damit ist dann das Zertifikat obsolet.
Damit besteht allerdings dann die Gefahr das den Clients jeder beliebige Radius "untergeschoben" werden die dann alles authentisieren.
Damit hebelst du eigentlich den tieferen Sinne eines Radius aus, was du dir sicher selber denken kannst. Zur Vereinfachung ist das aber möglich wenn du mit diesem gravierenden Nachteil leben kanst und es dir nur um eine zntralisierte User Verwaltung geht !
Hallo,
aber in einem anderen Beitrag hat jemand genau das
Gegenteil haben wollen, nämlich das sich seine Benutzer
nicht mehr mit Name und Passwort am HTTP Proxy
anmelden müssen, also von daher sollte es schon
eine Möglichkeit geben.
Möglich wäre auch ein HotSpot Installation wo die
Vouchers dann eben für die gesamte Dauer des
Kurses gültig sind.
Ich denke das Du einfach nur keinen transparenten
HTTP Proxy einsetzen kannst.
Gruß
Dobby
Du dieses Wissen haben, wäre ich froh, diese Informationen zu erhalten.
So könnte ich mich wider auf meinen ursprünglichen Weg begeben.
Also ich hier zu Hause nutze keinen HTTP Proxy Server,So könnte ich mich wider auf meinen ursprünglichen Weg begeben.
aber in einem anderen Beitrag hat jemand genau das
Gegenteil haben wollen, nämlich das sich seine Benutzer
nicht mehr mit Name und Passwort am HTTP Proxy
anmelden müssen, also von daher sollte es schon
eine Möglichkeit geben.
Möglich wäre auch ein HotSpot Installation wo die
Vouchers dann eben für die gesamte Dauer des
Kurses gültig sind.
Ich denke das Du einfach nur keinen transparenten
HTTP Proxy einsetzen kannst.
Gruß
Dobby
