warrender
Goto Top

Pfsense: Captive Portal - Authentifizierung für Sicherhheitsgruppe automatisieren

Hallo,

ich verwende Pfsense mit Captive Portal. Authentifiziert wird gegen einen Windows Radius Server.
Einer bestimmten Sichherheitsgruppe im Active Directory möchte ich es ermöglichen, dass sie sich nicht jedes Mal am Captive Portal anmelden muss, sondern, dass nach der ersten Anmeldung mit einem bestimmten Gerät, die Mac-Adresse des Gerätes und der Username entsprechend freigeschaltet werden. Kann man diese Vorgehensweise automatisieren?
Ich kenne nur die Möglichkeit, Mac-Adressen manuell in der Pfsense freizuschalten.
Danke!

Content-ID: 287154

Url: https://administrator.de/forum/pfsense-captive-portal-authentifizierung-fuer-sicherhheitsgruppe-automatisieren-287154.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

Snowman25
Snowman25 30.10.2015 aktualisiert um 16:40:59 Uhr
Goto Top
Hallo @Warrender,

Einfach mal nach pfSense ad integration googlen!

Gruß,
@Snowman25

Sorry, gerade nicht Zeit, für eine ausführlichere Antwort.
aqui
aqui 30.10.2015 aktualisiert um 17:33:28 Uhr
Goto Top
Die Antwort hilft nicht, denn sie hat keinerlei Bezug zur Frage. Der Radius ist ja vermutlich im AD inegriert wenn es der NPE ist und damit die AD Kopplung gegeben...
Hier gehts aber um was ganz anderes.... Wer lesen kann....
Das Problme ist das du die Mac oder User Funktion um die Ausnahme vom CP zu aktivieren nicht via Radius usw. in die FW reinbekommst. Auch SNMP usw. fallen aus so das es über die klasssichen Wege nicht einfach ist bzw. so erstmal nicht umzusetzen ist.

Denkbar ist ein kleiner Workaround. Wenn du so oder so schon den Radius am Laufen hast und vielleicht idealerweise einen managebaren Switch hast der idealerweise 802.1x Port Auth. kann gäbe es eine Möglichkeit....
Du aktivierst Mac Authentication auf den Ports und stellst das so ein das alles was nicht authentisiert werden kann ins Default VLAN fällt, was dann dein Segment mit dem CP ist. Unbekannte User bleiben so am CP hängen um sich zu authentisieren.
Alle anderen deren Mac bekannt ist und die in einer Gruppe des AD sind, setzt du dynamisch via .1x in ein anderes VLAN am Switch was das CP umgeht. Ggf. mit einer Access Liste wenn du den Traffic auf bestimmte Anwendungen limitieren willst.
So liesse sich ein eleganter Workaround machen der einfach umzusetzen ist und wenig Frickelei erfordert. Vorausgesetzt du hast die richtige HW natürlich !
Das funktioniert übrigens auch auf WLAN mit einem AP der mSSIDs supportet und WPA Enterprise.
Warrender
Warrender 30.10.2015 um 17:57:11 Uhr
Goto Top
Danke, Auqi!

Das CP ist für das Wlannetz. Welche Hardware muss 801x Port Authentification unterstützen? Die AP und jeder Switch bis zum Radius oder nur der AP?

Zitat von @aqui:
Alle anderen deren Mac bekannt ist und die in einer Gruppe des AD sind, setzt du dynamisch via .1x in ein anderes VLAN am Switch was das CP umgeht. Ggf. mit einer Access Liste wenn du den Traffic auf bestimmte Anwendungen limitieren willst.

Wenn die Mac-Adresse bekannt sein soll, muss ich sie vorher irgendwo hinterlegen, oder?
aqui
aqui 30.10.2015 um 18:32:47 Uhr
Goto Top
Der AP muss ein mSSID fähiger AP sein und er muss eine dynamische Zuweisung der SSID bzw. damit des VLANs via 802.1x supporten.
Wenn die Mac-Adresse bekannt sein soll, muss ich sie vorher irgendwo hinterlegen, oder?
Ja, von solchen Usern die dann ohne CP dürfen muss sie dir bekannt sein, damit du sie im NPE hinterlegen kannst. Mac Adressen sind leicht fälschbar, das darf man nicht vergessen aber .1x geht auch mit User Credentials aus dem AD oder Zertifikaten wenn man es ganz sicher machen will.
Der "gemeine" User hat aber meist keinerlei Ahnung was Mac Adressen sind und versteht schon überhaupt nicht den Mechanismus der dann dahinter liegt. In so fern ist nam in einem Umfeld mit "Normalusern" schon auf der sicheren Seite.
Hängt aber von deinen Policies und Vorgaben ab.
Warrender
Warrender 30.10.2015 um 19:10:51 Uhr
Goto Top
Danke für deine Unterstützung.

Aber, wenn ich erst die Mac-Adresse eintragen muss, kann ich das auch direkt bei der Pfsense machen...
108012
108012 30.10.2015 um 19:25:05 Uhr
Goto Top
Hallo zusammen,

alternativ könnte man auch folgendes machen um das Ziel zu erreichen;
- LAN Klienten werden durch den LDAP abgesichert
- WLAN Klienten (intern) erhalten ein Radius Zertifikat und können dann das Internet & das LAN
zusammen benutzen
- WLAN Klienten (extern oder Gäste) müssen über das Captive Portal gehen und müssen dann immer
wieder ein Voucher lösen. Aber auch hier kann man zwischen WLAN Gästen und CO-Workern bzw.
Geschäftspartnern die regelmäßig Euer WLAN nutzen unterscheiden und dann unterschiedliche
Gruppen anlegen.

Ist eventuell mehr Arbeit aber man hat dann auch alle gut von einander getrennt und kann dann auch
besser agieren wenn es einmal hakt im Netzwerk bzw. die Vouchers oder Zertifikate Widerrufen.

Gruß
Dobby