123788
01.03.2016
3365
4
0
Freeradius (WLAN): User nur zu bestimmter SSID zulassen
Hallo!
Ich betreibe ein WLAN-Netz mit Freeradius (WLAN-Controller, dazu professionelle Switches).
Bisher verwende ich nur eine SSID, es soll nun aber bald zwei Stück geben, die dann in verschiedenen VLANs liegen.
Wichtig ist nun, dass ein Benutzer nur in das für ihn bestimmte WLAN kommt, also nur eine bestimmte der beiden SSIDs nutzen kann.
Wie kann ich FreeRadius das beibringen? Mir ist klar, wie ich generell nur bestimmte Nutzergruppen zum WLAN zulassen kann, aber nicht, wie das mit mehreren SSIDs funktioniert.
Viele Grüße,
mrserious73
Ich betreibe ein WLAN-Netz mit Freeradius (WLAN-Controller, dazu professionelle Switches).
Bisher verwende ich nur eine SSID, es soll nun aber bald zwei Stück geben, die dann in verschiedenen VLANs liegen.
Wichtig ist nun, dass ein Benutzer nur in das für ihn bestimmte WLAN kommt, also nur eine bestimmte der beiden SSIDs nutzen kann.
Wie kann ich FreeRadius das beibringen? Mir ist klar, wie ich generell nur bestimmte Nutzergruppen zum WLAN zulassen kann, aber nicht, wie das mit mehreren SSIDs funktioniert.
Viele Grüße,
mrserious73
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 297795
Url: https://administrator.de/forum/freeradius-wlan-user-nur-zu-bestimmter-ssid-zulassen-297795.html
Ausgedruckt am: 23.04.2025 um 02:04 Uhr
4 Kommentare
Neuester Kommentar
Du bestimmst ja im Setup des AP pro SSID das Encryption bzw. Security Verfahren was da in der SSID genutzt wird.
Wenn dieser User nur im WPA-Enterprise WLAN SSID zugelassen ist kann er bei den anderen probieren bis er schwarz ist.Bzw. wenn du nur bei einer SSID WPA Enterprise machst ist er bei den anderen eh raus.
Sinnvollerweise solltest du eine dynamische VLAN Zuweisung machen mit der Radius Authentisierung, damit wird der User dann in die SSID gezwungen die für ihn da ist.
Letzteres können aber nicht alle APs.
Freeradius Management mit WebGUI
Wenn dieser User nur im WPA-Enterprise WLAN SSID zugelassen ist kann er bei den anderen probieren bis er schwarz ist.Bzw. wenn du nur bei einer SSID WPA Enterprise machst ist er bei den anderen eh raus.
Sinnvollerweise solltest du eine dynamische VLAN Zuweisung machen mit der Radius Authentisierung, damit wird der User dann in die SSID gezwungen die für ihn da ist.
Letzteres können aber nicht alle APs.
Freeradius Management mit WebGUI
Hallo,
Du kannst im FreeRADIUS über Huntgroups die AP's zu einer Gruppe bündeln und dann in der Datei USERS die Gruppe z.B. zu einer AD Group mappen.
z.B.
Gruß,
Andreas
Du kannst im FreeRADIUS über Huntgroups die AP's zu einer Gruppe bündeln und dann in der Datei USERS die Gruppe z.B. zu einer AD Group mappen.
z.B.
DEFAULT LDAP-Group == "CN=WiFi_intern,OU=Groups,OU=own,DC=deine,DC=domain", Huntgroup-Name == "SSID_intern" Gruß,
Andreas
Zitat von @123788:
Bisher verwende ich nur eine SSID, es soll nun aber bald zwei Stück geben, die dann in verschiedenen VLANs liegen.
Wichtig ist nun, dass ein Benutzer nur in das für ihn bestimmte WLAN kommt, also nur eine bestimmte der beiden SSIDs nutzen kann.
Wie kann ich FreeRadius das beibringen? Mir ist klar, wie ich generell nur bestimmte Nutzergruppen zum WLAN zulassen kann, aber nicht,
wie das mit mehreren SSIDs funktioniert.
Bisher verwende ich nur eine SSID, es soll nun aber bald zwei Stück geben, die dann in verschiedenen VLANs liegen.
Wichtig ist nun, dass ein Benutzer nur in das für ihn bestimmte WLAN kommt, also nur eine bestimmte der beiden SSIDs nutzen kann.
Wie kann ich FreeRadius das beibringen? Mir ist klar, wie ich generell nur bestimmte Nutzergruppen zum WLAN zulassen kann, aber nicht,
wie das mit mehreren SSIDs funktioniert.
Üblicherweise überträgt der Accesspoint (oder der Controller) mit seiner Anfrage an den Radius-Server u.a als Called-Station-Id eine Kombination aus BSSID und (E)SSID (Beispiel: "B0-48-7A-CE-4F-89:WLAN-Test"). Bei manchen Accesspoints bzw. Controller-Lösungen wird nicht die (E)SSID, sondern der Name des Konfigurationsprofils übertragen. So jedenfalls meine Erfahrungen mit den bisher von mir verwendeten Herstellern.
Diesen String müsstest Du auf dem Server in einem Regelwerk auswerten und verarbeiten. Beispiel: Wenn Called-Station-Id den String ":WLAN-Test" enthält und die Zugangsdaten zu einem User passen, der Mitglied der Gruppe "Test-WLAN-Benutzer" ist, dann erlaube den Zugriff.
Ob und wie dies mit Freeradius möglich ist, entzieht sich meiner Kenntnis. Wir nutzen dafür ein kommerzielles Produkt (Meru Connect).
Ein Alternativweg wäre, dass der Radiusserver in Abhängigkeit von der Gruppenmitgliedschaft des Users dem AP/Controller mitteilt, in welches VLAN der User gehört (dynamische VLAN-Zuweisung bei unveränderter (E)SSID). Das können aber nicht alle Accesspoints/Controller.
Gruß
sk
Ein Alternativweg wäre, dass der Radiusserver in Abhängigkeit von der Gruppenmitgliedschaft des Users dem AP/Controller mitteilt, in welches VLAN >der User gehört (dynamische VLAN-Zuweisung bei unveränderter (E)SSID). Das können aber nicht alle Accesspoints/Controller.
Das ist genau das, was wir bisher machen, nur eben über die users-Datei.
Würde ich auch gern so beibehalten, da tatsächlich nur eine SSID verwendet wird. Der Controller unterstützt dynamic VLAN
