Pfsense: Captive Portal - Authentifizierung für Sicherhheitsgruppe automatisieren
Hallo,
ich verwende Pfsense mit Captive Portal. Authentifiziert wird gegen einen Windows Radius Server.
Einer bestimmten Sichherheitsgruppe im Active Directory möchte ich es ermöglichen, dass sie sich nicht jedes Mal am Captive Portal anmelden muss, sondern, dass nach der ersten Anmeldung mit einem bestimmten Gerät, die Mac-Adresse des Gerätes und der Username entsprechend freigeschaltet werden. Kann man diese Vorgehensweise automatisieren?
Ich kenne nur die Möglichkeit, Mac-Adressen manuell in der Pfsense freizuschalten.
Danke!
ich verwende Pfsense mit Captive Portal. Authentifiziert wird gegen einen Windows Radius Server.
Einer bestimmten Sichherheitsgruppe im Active Directory möchte ich es ermöglichen, dass sie sich nicht jedes Mal am Captive Portal anmelden muss, sondern, dass nach der ersten Anmeldung mit einem bestimmten Gerät, die Mac-Adresse des Gerätes und der Username entsprechend freigeschaltet werden. Kann man diese Vorgehensweise automatisieren?
Ich kenne nur die Möglichkeit, Mac-Adressen manuell in der Pfsense freizuschalten.
Danke!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 287154
Url: https://administrator.de/forum/pfsense-captive-portal-authentifizierung-fuer-sicherhheitsgruppe-automatisieren-287154.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
6 Kommentare
Neuester Kommentar
Hallo @Warrender,
Einfach mal nach
Gruß,
@Snowman25
Sorry, gerade nicht Zeit, für eine ausführlichere Antwort.
Einfach mal nach
pfSense ad integration
googlen!Gruß,
@Snowman25
Sorry, gerade nicht Zeit, für eine ausführlichere Antwort.
Die Antwort hilft nicht, denn sie hat keinerlei Bezug zur Frage. Der Radius ist ja vermutlich im AD inegriert wenn es der NPE ist und damit die AD Kopplung gegeben...
Hier gehts aber um was ganz anderes.... Wer lesen kann....
Das Problme ist das du die Mac oder User Funktion um die Ausnahme vom CP zu aktivieren nicht via Radius usw. in die FW reinbekommst. Auch SNMP usw. fallen aus so das es über die klasssichen Wege nicht einfach ist bzw. so erstmal nicht umzusetzen ist.
Denkbar ist ein kleiner Workaround. Wenn du so oder so schon den Radius am Laufen hast und vielleicht idealerweise einen managebaren Switch hast der idealerweise 802.1x Port Auth. kann gäbe es eine Möglichkeit....
Du aktivierst Mac Authentication auf den Ports und stellst das so ein das alles was nicht authentisiert werden kann ins Default VLAN fällt, was dann dein Segment mit dem CP ist. Unbekannte User bleiben so am CP hängen um sich zu authentisieren.
Alle anderen deren Mac bekannt ist und die in einer Gruppe des AD sind, setzt du dynamisch via .1x in ein anderes VLAN am Switch was das CP umgeht. Ggf. mit einer Access Liste wenn du den Traffic auf bestimmte Anwendungen limitieren willst.
So liesse sich ein eleganter Workaround machen der einfach umzusetzen ist und wenig Frickelei erfordert. Vorausgesetzt du hast die richtige HW natürlich !
Das funktioniert übrigens auch auf WLAN mit einem AP der mSSIDs supportet und WPA Enterprise.
Hier gehts aber um was ganz anderes.... Wer lesen kann....
Das Problme ist das du die Mac oder User Funktion um die Ausnahme vom CP zu aktivieren nicht via Radius usw. in die FW reinbekommst. Auch SNMP usw. fallen aus so das es über die klasssichen Wege nicht einfach ist bzw. so erstmal nicht umzusetzen ist.
Denkbar ist ein kleiner Workaround. Wenn du so oder so schon den Radius am Laufen hast und vielleicht idealerweise einen managebaren Switch hast der idealerweise 802.1x Port Auth. kann gäbe es eine Möglichkeit....
Du aktivierst Mac Authentication auf den Ports und stellst das so ein das alles was nicht authentisiert werden kann ins Default VLAN fällt, was dann dein Segment mit dem CP ist. Unbekannte User bleiben so am CP hängen um sich zu authentisieren.
Alle anderen deren Mac bekannt ist und die in einer Gruppe des AD sind, setzt du dynamisch via .1x in ein anderes VLAN am Switch was das CP umgeht. Ggf. mit einer Access Liste wenn du den Traffic auf bestimmte Anwendungen limitieren willst.
So liesse sich ein eleganter Workaround machen der einfach umzusetzen ist und wenig Frickelei erfordert. Vorausgesetzt du hast die richtige HW natürlich !
Das funktioniert übrigens auch auf WLAN mit einem AP der mSSIDs supportet und WPA Enterprise.
Der AP muss ein mSSID fähiger AP sein und er muss eine dynamische Zuweisung der SSID bzw. damit des VLANs via 802.1x supporten.
Der "gemeine" User hat aber meist keinerlei Ahnung was Mac Adressen sind und versteht schon überhaupt nicht den Mechanismus der dann dahinter liegt. In so fern ist nam in einem Umfeld mit "Normalusern" schon auf der sicheren Seite.
Hängt aber von deinen Policies und Vorgaben ab.
Wenn die Mac-Adresse bekannt sein soll, muss ich sie vorher irgendwo hinterlegen, oder?
Ja, von solchen Usern die dann ohne CP dürfen muss sie dir bekannt sein, damit du sie im NPE hinterlegen kannst. Mac Adressen sind leicht fälschbar, das darf man nicht vergessen aber .1x geht auch mit User Credentials aus dem AD oder Zertifikaten wenn man es ganz sicher machen will.Der "gemeine" User hat aber meist keinerlei Ahnung was Mac Adressen sind und versteht schon überhaupt nicht den Mechanismus der dann dahinter liegt. In so fern ist nam in einem Umfeld mit "Normalusern" schon auf der sicheren Seite.
Hängt aber von deinen Policies und Vorgaben ab.
Hallo zusammen,
alternativ könnte man auch folgendes machen um das Ziel zu erreichen;
- LAN Klienten werden durch den LDAP abgesichert
- WLAN Klienten (intern) erhalten ein Radius Zertifikat und können dann das Internet & das LAN
zusammen benutzen
- WLAN Klienten (extern oder Gäste) müssen über das Captive Portal gehen und müssen dann immer
wieder ein Voucher lösen. Aber auch hier kann man zwischen WLAN Gästen und CO-Workern bzw.
Geschäftspartnern die regelmäßig Euer WLAN nutzen unterscheiden und dann unterschiedliche
Gruppen anlegen.
Ist eventuell mehr Arbeit aber man hat dann auch alle gut von einander getrennt und kann dann auch
besser agieren wenn es einmal hakt im Netzwerk bzw. die Vouchers oder Zertifikate Widerrufen.
Gruß
Dobby
alternativ könnte man auch folgendes machen um das Ziel zu erreichen;
- LAN Klienten werden durch den LDAP abgesichert
- WLAN Klienten (intern) erhalten ein Radius Zertifikat und können dann das Internet & das LAN
zusammen benutzen
- WLAN Klienten (extern oder Gäste) müssen über das Captive Portal gehen und müssen dann immer
wieder ein Voucher lösen. Aber auch hier kann man zwischen WLAN Gästen und CO-Workern bzw.
Geschäftspartnern die regelmäßig Euer WLAN nutzen unterscheiden und dann unterschiedliche
Gruppen anlegen.
Ist eventuell mehr Arbeit aber man hat dann auch alle gut von einander getrennt und kann dann auch
besser agieren wenn es einmal hakt im Netzwerk bzw. die Vouchers oder Zertifikate Widerrufen.
Gruß
Dobby