123788
26.12.2016
6447
5
0
PfSense: Freeradius, EAP-TLS, VLAN-Zuordnung
Hallo zusammen,
ich verwende nun Freeradius auf pfSense, um ein EAP-TLS für's WLAN zu stellen.
In Zukunft möchte ich den Radius-Server auch nutzen, um dem AP mitzuteilen, in welches VLAN ein User geschubst werden soll.
Problem ist im Moment: Ich habe zwar pfSense-User angelegt, aber man kann sich auch problemlos mit einem Phantasie-Usernamen einloggen, solange man auf dem Clientgerät das korrekt Zertifikat nutzt.
Kann man das verhindern? Quasi Username+PW+Zertifikat verwenden?
Oder die VLAN-ID an das Zertifikat binden, statt an den Usernamen?
ich verwende nun Freeradius auf pfSense, um ein EAP-TLS für's WLAN zu stellen.
In Zukunft möchte ich den Radius-Server auch nutzen, um dem AP mitzuteilen, in welches VLAN ein User geschubst werden soll.
Problem ist im Moment: Ich habe zwar pfSense-User angelegt, aber man kann sich auch problemlos mit einem Phantasie-Usernamen einloggen, solange man auf dem Clientgerät das korrekt Zertifikat nutzt.
Kann man das verhindern? Quasi Username+PW+Zertifikat verwenden?
Oder die VLAN-ID an das Zertifikat binden, statt an den Usernamen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 324867
Url: https://administrator.de/forum/pfsense-freeradius-eap-tls-vlan-zuordnung-324867.html
Ausgedruckt am: 26.12.2024 um 22:12 Uhr
5 Kommentare
Neuester Kommentar
aber man kann sich auch problemlos mit einem Phantasie-Usernamen einloggen, solange man auf dem Clientgerät das korrekt Zertifikat nutzt.
Das ist natürlich Quatsch und zeigt das du gar kein WPA Enterprise machst, bzw. der Radius oder aber auch der AP falsch konfiguriert ist !Die hiesigen Tutorials zu dem Thema beschreiben das entsprechend:
Freeradius Management mit WebGUI
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Letzteres beschreibt auch die dynamische Zuordnung von VLANs auf die Clients.
Ohne eine entsprechende Userkonfig ist es unmöglich sich in das WLAN einzubuchen eine korrekt Radius Konfig vorausgesetzt.
Bei dir stimmt also ganz grundsätzlich was nicht.
Auch hier findest du noch ein paar Grundlagen zu dem Thema:
Netzwerk Management Server mit Raspberry Pi
Nun, der Radius entspricht der Standard-Konfiguration von pfSense
Das tut wie immer nix zur Sache...ist ja ein Freeradius der da werkelt.Hier zählt das Zertifikat und wie die users.conf, clients, con und die lap.conf eingestellt ist und noch ein paar andere Konf Dateien.
Siehe Raspeberry Pi Tutorial oben was die Details dazu hat.
Es ist auf alle Fälle unmöglich in einem solchen Setaup das man sich mit x-beliebigen User Credentials da einloggen kann.
Wäre ja auch Schwachsinn, denn genau DAS will man ja mit einer wasserdichten Radius Authentisierung genau verhindern....
Die oben zitierten Tutorials beschreiben ja genau die Zertifikats Generierung.
Bedneke das da nur die Radius Server Zertifizierung ist und KEIN Client Zertifikats Generierung !
Das ist ne andere Baustelle...
Hier mit hats auf Anhieb geklappt:
PFSense 2.3.2 Freeradius
PFSense 2.3.2 Freeradius