jhz-itler
Goto Top

WLAN Kontrolle, ein Geraet pro User, RADIUS

Hallo zusammen,

ich stehe derzeit vor dem Problem das ich einem Teil unserer WLAN-Nutzer den Zugang zum WLAN auf ein Gerät beschränken muss. Unser WLAN-Zugang wird über einen RADIUS-Server kontrolliert. Die Benutzer melden sich dort mit Ihren AD-Accounts an. Dies funktioniert auch reibungslos. Die Zeitliche Steuerung habe ich auch bereits eingerichtet, jedoch habe ich noch keine Möglichkeit gefunden den Zugang auf ein Gerät zu beschränken.

Hintergrund: WLAN-Benutzer die kurzfristig keinen Zugang zum WLAN erhalten sollen, sollen sich nicht mittels Account eines anderen Benutzers anmelden können. Lässt sich das über einen MAC-Filter realisieren?

Beim eingesetzten Server handelt es sich um einen Windows Server 2019

Content-Key: 636121

Url: https://administrator.de/contentid/636121

Printed on: June 16, 2024 at 15:06 o'clock

Member: Xerebus
Xerebus Dec 29, 2020 at 23:19:30 (UTC)
Goto Top
Hallo.
Wie? Gesperrte benutzer melden sich mit einem anderen account an, oder hab ich da was falsch gelesen?
Member: JHZ-ITler
JHZ-ITler Dec 29, 2020 at 23:32:24 (UTC)
Goto Top
Vielleicht etwas detailierter:

Wir sind eine Jugendhilfeeinrichtung für schwer erziehbare Kinder usw. Soll nun einem dieser Kinder der Zugriff auf das WLAN untersagt werden (erzieherische Maßnahme) könnte er sich aber mittels Account eines anderen Kindes anmelden. Dies muss unterbunden werden. Zuerst würde es reichen wenn jeder Account nur eine Anmeldung zulassen würde. Besser wäre es jedoch die Endgeräte der Kinder irgendwo dem Account des Kindes zu zu weisen damit sich das Kind tatsächlich nur mit dem ihm zugewiesenen Gerät anmelden kann.
Member: JHZ-ITler
JHZ-ITler Dec 30, 2020 at 00:24:40 (UTC)
Goto Top
Ich bin zumindest schon mal soweit das ich die Anmeldung auf ein Gerät beschränken kann. In den AD Einwahleigenschaften kann ich unter Anruferkennung verifizieren die MAC Adresse eines Gerätes eintragen. Jetzt stehe ich nur vor dem Problem das wenn eins der Kinder 2 oder 3 Geräte verwendet müssen die Adressen ja auch dort hinterlegt werden. Das scheint Microsoft aber so nicht vorgesehen zu haben, bzw. habe ich die Syntax dazu noch nicht gefunden.
Member: maretz
maretz Dec 30, 2020 at 07:44:32 (UTC)
Goto Top
Ich würde hier an 2 Stellen ansetzen. Das eine ist ein Captive Portal was eben auch prüft ob bereits ein Gerät angemeldet wurde.
Das zweite wäre ne klare Ansage (und das durchsetzen!) das wer seinen Account weitergibt und bemerkt wird auch gleich das ganze gesperrt bekommt. Nem Kiddy das WLAN für 1 Woche sperren kommt zwar einer Folter oder Todesstrafe gleich aber dürfte nach spätestens 2-3x zum Erfolg führen :D. Hoffentlich bekommt ihr nich irgendwann die Familie Trump - dem Twitter zu sperren zählt vermutlich sogar als Anschlag auf die innere Sicherheit der USA :D
Member: aqui
aqui Dec 30, 2020 at 10:27:51 (UTC)
Goto Top
Unser WLAN-Zugang wird über einen RADIUS-Server kontrolliert.
Das ist doch perfekt und dann eine Lösung kinderleicht. Du gibst für dieses WLAN einfach nur eine einzige Mac Adresse über den Radius frei:
Diese Tutorials erklären dir die Grundlagen:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Praxisbeispiele:
Cisco SG 350x Grundkonfiguration
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Klappt natürlich auch alles mit dem NPS Radius Server von MS.
Member: JHZ-ITler
JHZ-ITler Dec 30, 2020 at 10:35:41 (UTC)
Goto Top
Das ist aber genau mein Problem. Eine MAC Adresse kann ich über die Einwahleigenschaften des Benutzers im AD festlegen jedoch scheitert das Szenario derzeit, wenn ein User mehrer Geräte benutzt.
Member: gilligan
gilligan Dec 30, 2020 at 20:44:27 (UTC)
Goto Top
Die besten Erfolge haben wir bei einer ähnlichen Einrichtung mit zeitbasierten Vouchern erzielt die sich die Kids erarbeiten konnten was pädagogisch angenehme Nebeneffekte hatte, beim Erstellen konnte man beim Lancom die Anzahl an gleichzeitigen Geräten angeben die den Code verwenden durften. Zum Radius kann ich leider nichts beitragen.
Member: JHZ-ITler
JHZ-ITler Dec 30, 2020 at 20:52:30 (UTC)
Goto Top
Danke für den Tipp, ein Vouchersystem über unsere Sophos UTM haben wir derzeit im Einsatz jedoch kann ich darüber nicht für jeden einzelnen User eine Zeit bestimmen wann er Online gehen darf und wann nicht. Dies soll aber nun erfolgen. Da war mir die Radiuslösung die effektivste.
Member: gilligan
gilligan Dec 30, 2020 at 20:58:30 (UTC)
Goto Top
Ah verstehe, das haben die Betreuer Vor Ort ziemlich analog mittels Zettelausgabe gesteuert face-smile
Member: JHZ-ITler
JHZ-ITler Dec 30, 2020 at 21:08:39 (UTC)
Goto Top
Bei uns bekommen alle einen 90 Tage Voucher, bei Maßnahmen haben die Erzieher über das Portal die Möglichkeit den Voucher zu sperren, damit die Verwaltung nicht an mir hängen bleibt. Jedoch sollen einige ab ner bestimmten Uhrzeit keinen Zugang mehr haben. Diese Kontrolle fehlt bei dem System und kann über das AD Konto realisiert werden. Ich hab dazu auch bereits ein Powershell Script mit Gui geschrieben damit die Erzieher hier die Kontrolle haben und das auch nicht bei mir hängen bleibt. Jedoch fehlt mir hier jetzt nur noch die Mehrgerätesteuerung 🤯
Member: ipzipzap
ipzipzap Dec 31, 2020 at 20:45:58 (UTC)
Goto Top
Hallo,

nur kurz zur Info: Unter Android und Apple iOS ist seit einiger Zeit standardmäßig "MAC Address Randomization" aktiviert, das heißt jedes Gerät würfelt sich eine Zufalls-MAC-Adresse, die sich mit einem Klick auch neu auswürfeln läßt, falls sie z.B. gesperrt wird.
Eine Sperre auf MAC-Basis ist somit in 5 Sekunden ausgehebelt und wirkungslos.

Just my 2c,
ipzipzap
Member: JHZ-ITler
JHZ-ITler Dec 31, 2020 at 23:39:43 (UTC)
Goto Top
Ja aber meines Wissens nach ändert sich bei iOS die MAC Adresse pro Netzwerk, d.h. Da sich der User im gleichen Netzwerk auch die gleiche MAC bekommt. Nur in einem neuen/anderen Netzwerk eine andere Adresse. So haben das auch meine internen Tests ergeben. Bei Android bin ich mir noch nicht sicher, muss ich prüfen, aber ich gehe vom gleichen Prozedere aus.