Dynamische VLAN-Zuweisung mit FreeRADIUS und Active Directory
"[...] Die Aufgabenstellung unserer Diplomarbeit war, ein sicheres und zuverlässiges Funknetzwerk für unsere Schule zu realisieren.
Die Anbindung von Netzwerk-Clients über Funk-Vernetzung (WLAN) bietet gegenüber der Kabel-Anbindung gerade beim Einsatz von Notebooks in Schulen große Vorteile: Die lästigen Netzwerkkabel fallen weg, die Sitzordnung in der Klasse ist wesentlich flexibler. Wenn die Funkvernetzung im ganzen Schulgebäude verfügbar ist, steht diese flexible Netzanbindung sowohl den Schülern als auch den Lehrern zur Verfügung. Ein weiterer Punkt betrifft die Sicherheit des Netzwerkes. Durch die Umstellung des vorhandenen Netzwerkes im vorherigen Schuljahr wurden die technischen Voraussetzungen für eine zuverlässige und sichere Funk-LAN-Verbindung geschaffen. Durch den neuen WLAN Standard 802.11n und die WPA-Verschlüsselung kann eine zukunftssichere Lösung realisiert werden. Der Zugriff auf das Netzwerk wird über das Authentifizierungsverfahren 802.1X in Verbindung mit einem FreeRADIUS Server geregelt. Zudem werden die Benutzergruppen durch verschiedene virtuelle Netzwerke (VLAN) getrennt, um zusätzliche Sicherheit zu schaffen. Das Endziel ist es, ein Funk-Netzwerk zu schaffen, auf das flächendeckend vom gesamten Schulgelände aus auf möglichst sichere Art und Weise zugegriffen werden kann [...]"
So lautete die geforderte Aufgabenstellen bei unserer Diplomarbeit. Was dabei herausgekommen ist, könnt ihr in unserer Projektdokumentation begutachten.
Bei Fragen stehe ich gerne zur Verfügung!
gruß
felix
EDITH (siehe auch unten):
Der Bereich der Dokumentation in dem beschrieben steht wie den einzelnen Gruppen ein entsprechendes VLAN zugewiesen wird durften wir aufgrund von sicherheitstechnischen Gründen nicht veröffentlicht werden. Wenn ich mich allerdings noch recht erinnere geschah das ganze über folgende Konfiguration in der FreeRADIUS Konfigurationsdatei:
Ich hoffe das hilft.
Die Anbindung von Netzwerk-Clients über Funk-Vernetzung (WLAN) bietet gegenüber der Kabel-Anbindung gerade beim Einsatz von Notebooks in Schulen große Vorteile: Die lästigen Netzwerkkabel fallen weg, die Sitzordnung in der Klasse ist wesentlich flexibler. Wenn die Funkvernetzung im ganzen Schulgebäude verfügbar ist, steht diese flexible Netzanbindung sowohl den Schülern als auch den Lehrern zur Verfügung. Ein weiterer Punkt betrifft die Sicherheit des Netzwerkes. Durch die Umstellung des vorhandenen Netzwerkes im vorherigen Schuljahr wurden die technischen Voraussetzungen für eine zuverlässige und sichere Funk-LAN-Verbindung geschaffen. Durch den neuen WLAN Standard 802.11n und die WPA-Verschlüsselung kann eine zukunftssichere Lösung realisiert werden. Der Zugriff auf das Netzwerk wird über das Authentifizierungsverfahren 802.1X in Verbindung mit einem FreeRADIUS Server geregelt. Zudem werden die Benutzergruppen durch verschiedene virtuelle Netzwerke (VLAN) getrennt, um zusätzliche Sicherheit zu schaffen. Das Endziel ist es, ein Funk-Netzwerk zu schaffen, auf das flächendeckend vom gesamten Schulgelände aus auf möglichst sichere Art und Weise zugegriffen werden kann [...]"
So lautete die geforderte Aufgabenstellen bei unserer Diplomarbeit. Was dabei herausgekommen ist, könnt ihr in unserer Projektdokumentation begutachten.
Bei Fragen stehe ich gerne zur Verfügung!
gruß
felix
EDITH (siehe auch unten):
Der Bereich der Dokumentation in dem beschrieben steht wie den einzelnen Gruppen ein entsprechendes VLAN zugewiesen wird durften wir aufgrund von sicherheitstechnischen Gründen nicht veröffentlicht werden. Wenn ich mich allerdings noch recht erinnere geschah das ganze über folgende Konfiguration in der FreeRADIUS Konfigurationsdatei:
DEFAULT Ldap-Group == "enabled", Auth-Type := LDAP
Tunnel-Medium-Type = IEEE-802,
Tunnel-Type = VLAN,
Tunnel-Private-Group-Id = "3"
Ich hoffe das hilft.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 127379
Url: https://administrator.de/tutorial/dynamische-vlan-zuweisung-mit-freeradius-und-active-directory-127379.html
Ausgedruckt am: 23.12.2024 um 11:12 Uhr
17 Kommentare
Neuester Kommentar
Sieht so aus als ob genau das nicht passiert ist (wäre sinnvoll gewesen). Scheinbar gibt es nur eine statische Zuweisung SSID zu VLAN (Seite 224).
Schade...da hätte man etwas mehr rausholen können bei der ansonsten sehr gut gemachten Doku ! Hätte auch den Aufwand der AP Konfig verringert...
Das es geht mit der dynamischen VLAN Zuweisung im Freeradius sieht man ja hier:
Freeradius Management mit WebGUI
Dynamisches Vlan bei Freeradius mit Alcatel switch
Dynamisches VLAN über WLAN mit FreeRadius und AD
Fragen zu NAS, Radius und verschiedenen Authentifizierungsmöglichkeiten
Schade...da hätte man etwas mehr rausholen können bei der ansonsten sehr gut gemachten Doku ! Hätte auch den Aufwand der AP Konfig verringert...
Das es geht mit der dynamischen VLAN Zuweisung im Freeradius sieht man ja hier:
Freeradius Management mit WebGUI
Dynamisches Vlan bei Freeradius mit Alcatel switch
Dynamisches VLAN über WLAN mit FreeRadius und AD
Fragen zu NAS, Radius und verschiedenen Authentifizierungsmöglichkeiten
Hallo zusammen,
jetzt komm ich hier auch mal zu meinem ersten Posting
In den Anleitungen hier findet man leider immer nur, wie man das mit lokal auf dem Radius angelegten Nutzern macht.
Ich hab meine Nutzer im AD, HP ProCurve Switche, nen FreeRadius und Windows-/Linux-Maschinen.
Ziel ist es, dass wenn sich ein User anmeldet, oder sein Notebook einsteckt (später evtl auch via WLAN), dass er sich dann anmeldeet und der Radius Server ihn am AD authentifiziert und dann auch noch die zu seinem Account/seiner Gruppe gehörige VLAN-ID zurück gibt, die ihm dann der ProCuve Switch auflegt.
(Wie) geht das?
Vielen Dank schon mal!
Grüße,
Sven.
jetzt komm ich hier auch mal zu meinem ersten Posting
In den Anleitungen hier findet man leider immer nur, wie man das mit lokal auf dem Radius angelegten Nutzern macht.
Ich hab meine Nutzer im AD, HP ProCurve Switche, nen FreeRadius und Windows-/Linux-Maschinen.
Ziel ist es, dass wenn sich ein User anmeldet, oder sein Notebook einsteckt (später evtl auch via WLAN), dass er sich dann anmeldeet und der Radius Server ihn am AD authentifiziert und dann auch noch die zu seinem Account/seiner Gruppe gehörige VLAN-ID zurück gibt, die ihm dann der ProCuve Switch auflegt.
(Wie) geht das?
Vielen Dank schon mal!
Grüße,
Sven.
Freeradius Server per LDAP ans AD hängen. Wie das geht steht hier:
http://www.air09.net/air09_dokumentation.pdf
Oder gleich den IAS mit auf den AD installieren, wenns ohne FreeRadius gehen soll.
Dann Freeradius ala:
Dynamisches Vlan bei Freeradius mit Alcatel switch
konfigurieren...fertich.
Gibt bei HP und anderen Switch Herstellern entsprechnde Whitepapers dazu...oder Dr. Google !
http://www.air09.net/air09_dokumentation.pdf
Oder gleich den IAS mit auf den AD installieren, wenns ohne FreeRadius gehen soll.
Dann Freeradius ala:
Dynamisches Vlan bei Freeradius mit Alcatel switch
konfigurieren...fertich.
Gibt bei HP und anderen Switch Herstellern entsprechnde Whitepapers dazu...oder Dr. Google !
Warum man FreeRadius nehmen sollte, wenn man doch User aus dem Active Directory authentifizieren will erschliesst sich mir nicht wirklich.
Klar ist FreeRadius ein klasse Gratis-Radius, verwend ich auch gern.
Doch mit IAS von Mikrosaft ist der Radius in gefühlten 5 Minuten fertig konfiguriert, kann auch direkt mit drei Klicks risikolos auf dem Domaincontroller oder irgendnem Memberserver der eh in der Gegend rumsteht installiert werden ohne dass man extra ne Hardware oder VM dafür braucht, und man kann sich viel schneller wieder spannenderen Themen widmen, z. B. dem Popeln in der Nase.
Return Attribute kann man mit dem IAS reinkloppen in den RAS-Policy Einstellungen ... Profil... Advanced. Zack bumm fertig, läuft.
Klar ist FreeRadius ein klasse Gratis-Radius, verwend ich auch gern.
Doch mit IAS von Mikrosaft ist der Radius in gefühlten 5 Minuten fertig konfiguriert, kann auch direkt mit drei Klicks risikolos auf dem Domaincontroller oder irgendnem Memberserver der eh in der Gegend rumsteht installiert werden ohne dass man extra ne Hardware oder VM dafür braucht, und man kann sich viel schneller wieder spannenderen Themen widmen, z. B. dem Popeln in der Nase.
Return Attribute kann man mit dem IAS reinkloppen in den RAS-Policy Einstellungen ... Profil... Advanced. Zack bumm fertig, läuft.
Hallo.
Bevor es noch mehr Verwirrung gibt:
Unter Windows Server 2008 heisst der IAS jetzt NPS (Network Policy Service) und hat, zusätzlich zu den Radius-Funktionen noch Zusatzfunktionen für Microsofts Network Access Protection (NAP) dazugelernt.
Gruß
Gerd
Bevor es noch mehr Verwirrung gibt:
Unter Windows Server 2008 heisst der IAS jetzt NPS (Network Policy Service) und hat, zusätzlich zu den Radius-Funktionen noch Zusatzfunktionen für Microsofts Network Access Protection (NAP) dazugelernt.
Gruß
Gerd
Die Doku Webseite ist tot. Aktuell ist die sonst gut gemachte Doku hier zu finden:
http://fhost1.no-ip.info/air09_dokumentation.pdf
http://fhost1.no-ip.info/air09_dokumentation.pdf
Ist sonst auch im 802.1x Tutorial hier nochmal beschrieben:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Aktueller Doku Link:
http://felixthec.at/air09_dokumentation.pdf
http://felixthec.at/air09_dokumentation.pdf