strolchiii
Goto Top

Dynamische VLAN-Zuweisung mit FreeRADIUS und Active Directory

"[...] Die Aufgabenstellung unserer Diplomarbeit war, ein sicheres und zuverlässiges Funknetzwerk für unsere Schule zu realisieren.
Die Anbindung von Netzwerk-Clients über Funk-Vernetzung (WLAN) bietet gegenüber der Kabel-Anbindung gerade beim Einsatz von Notebooks in Schulen große Vorteile: Die lästigen Netzwerkkabel fallen weg, die Sitzordnung in der Klasse ist wesentlich flexibler. Wenn die Funkvernetzung im ganzen Schulgebäude verfügbar ist, steht diese flexible Netzanbindung sowohl den Schülern als auch den Lehrern zur Verfügung. Ein weiterer Punkt betrifft die Sicherheit des Netzwerkes. Durch die Umstellung des vorhandenen Netzwerkes im vorherigen Schuljahr wurden die technischen Voraussetzungen für eine zuverlässige und sichere Funk-LAN-Verbindung geschaffen. Durch den neuen WLAN Standard 802.11n und die WPA-Verschlüsselung kann eine zukunftssichere Lösung realisiert werden. Der Zugriff auf das Netzwerk wird über das Authentifizierungsverfahren 802.1X in Verbindung mit einem FreeRADIUS Server geregelt. Zudem werden die Benutzergruppen durch verschiedene virtuelle Netzwerke (VLAN) getrennt, um zusätzliche Sicherheit zu schaffen. Das Endziel ist es, ein Funk-Netzwerk zu schaffen, auf das flächendeckend vom gesamten Schulgelände aus auf möglichst sichere Art und Weise zugegriffen werden kann [...]"

So lautete die geforderte Aufgabenstellen bei unserer Diplomarbeit. Was dabei herausgekommen ist, könnt ihr in unserer Projektdokumentation begutachten.
Bei Fragen stehe ich gerne zur Verfügung! face-smile

gruß
felix

EDITH (siehe auch unten):

Der Bereich der Dokumentation in dem beschrieben steht wie den einzelnen Gruppen ein entsprechendes VLAN zugewiesen wird durften wir aufgrund von sicherheitstechnischen Gründen nicht veröffentlicht werden. Wenn ich mich allerdings noch recht erinnere geschah das ganze über folgende Konfiguration in der FreeRADIUS Konfigurationsdatei:

DEFAULT Ldap-Group == "enabled", Auth-Type := LDAP 

   Tunnel-Medium-Type = IEEE-802, 
   Tunnel-Type = VLAN, 
   Tunnel-Private-Group-Id = "3" 

Ich hoffe das hilft.

Content-Key: 127379

Url: https://administrator.de/contentid/127379

Printed on: June 23, 2024 at 21:06 o'clock

Member: dog
dog Oct 18, 2009 at 16:47:57 (UTC)
Goto Top
Vielleicht liegt es daran, dass ich es nur überflogen habe, aber...
wo wird denn erklärt, wie der RADIUS-Server die Benutzer den VLANs zuordnet?

Grüße

Max
Member: aqui
aqui Oct 19, 2009, updated at May 15, 2023 at 14:48:01 (UTC)
Goto Top
Sieht so aus als ob genau das nicht passiert ist (wäre sinnvoll gewesen). Scheinbar gibt es nur eine statische Zuweisung SSID zu VLAN (Seite 224).
Schade...da hätte man etwas mehr rausholen können bei der ansonsten sehr gut gemachten Doku ! Hätte auch den Aufwand der AP Konfig verringert...
Das es geht mit der dynamischen VLAN Zuweisung im Freeradius sieht man ja hier:
Freeradius Management mit WebGUI
Dynamisches Vlan bei Freeradius mit Alcatel switch
Dynamisches VLAN über WLAN mit FreeRadius und AD
Fragen zu NAS, Radius und verschiedenen Authentifizierungsmöglichkeiten
Member: VooDoo4711
VooDoo4711 Oct 22, 2009 at 12:02:34 (UTC)
Goto Top
Hallo zusammen,

jetzt komm ich hier auch mal zu meinem ersten Posting face-smile

In den Anleitungen hier findet man leider immer nur, wie man das mit lokal auf dem Radius angelegten Nutzern macht.

Ich hab meine Nutzer im AD, HP ProCurve Switche, nen FreeRadius und Windows-/Linux-Maschinen.
Ziel ist es, dass wenn sich ein User anmeldet, oder sein Notebook einsteckt (später evtl auch via WLAN), dass er sich dann anmeldeet und der Radius Server ihn am AD authentifiziert und dann auch noch die zu seinem Account/seiner Gruppe gehörige VLAN-ID zurück gibt, die ihm dann der ProCuve Switch auflegt.

(Wie) geht das?

Vielen Dank schon mal!

Grüße,
Sven.
Member: aqui
aqui Oct 22, 2009, updated at Oct 18, 2012 at 16:39:45 (UTC)
Goto Top
Freeradius Server per LDAP ans AD hängen. Wie das geht steht hier:

http://www.air09.net/air09_dokumentation.pdf

Oder gleich den IAS mit auf den AD installieren, wenns ohne FreeRadius gehen soll.
Dann Freeradius ala:
Dynamisches Vlan bei Freeradius mit Alcatel switch
konfigurieren...fertich.
Gibt bei HP und anderen Switch Herstellern entsprechnde Whitepapers dazu...oder Dr. Google !
Member: spacyfreak
spacyfreak Nov 14, 2009 at 19:42:14 (UTC)
Goto Top
Warum man FreeRadius nehmen sollte, wenn man doch User aus dem Active Directory authentifizieren will erschliesst sich mir nicht wirklich.

Klar ist FreeRadius ein klasse Gratis-Radius, verwend ich auch gern.
Doch mit IAS von Mikrosaft ist der Radius in gefühlten 5 Minuten fertig konfiguriert, kann auch direkt mit drei Klicks risikolos auf dem Domaincontroller oder irgendnem Memberserver der eh in der Gegend rumsteht installiert werden ohne dass man extra ne Hardware oder VM dafür braucht, und man kann sich viel schneller wieder spannenderen Themen widmen, z. B. dem Popeln in der Nase.
Return Attribute kann man mit dem IAS reinkloppen in den RAS-Policy Einstellungen ... Profil... Advanced. Zack bumm fertig, läuft.
Member: Wyerli
Wyerli Nov 19, 2009 at 10:15:16 (UTC)
Goto Top
Hast du mir vileicht Infos für das einrichten von IAS und ist das nicht neu auf 2008 NAP?
Wir verwende eben nur noch 2008 Enterprise...
Member: spacyfreak
spacyfreak Nov 20, 2009 at 15:10:37 (UTC)
Goto Top
Ja kannst doch auch auf nem 2008er Windows Server IAS installieren (nicht zu verwechseln mit ISA oder IIS..) IAS = Internet Authentication Service = Radius in "mikrosaft-sprache"
Member: mavrix
mavrix Dec 13, 2009 at 20:55:53 (UTC)
Goto Top
Hallo,

leider geht der Link nicht, hätte mir gerne mal die Doku angesehen.
Vg
Markus
Mitglied: 33531
33531 Jan 04, 2010 at 10:23:10 (UTC)
Goto Top
Hallo.

Bevor es noch mehr Verwirrung gibt:

Unter Windows Server 2008 heisst der IAS jetzt NPS (Network Policy Service) und hat, zusätzlich zu den Radius-Funktionen noch Zusatzfunktionen für Microsofts Network Access Protection (NAP) dazugelernt.

Gruß

Gerd
Member: strolchiii
strolchiii Jan 20, 2010 at 19:33:08 (UTC)
Goto Top
Die Doku ist wieder verfügbar. face-smile
Member: aqui
aqui Dec 22, 2010 at 11:27:17 (UTC)
Goto Top
Die Doku Webseite ist tot. Aktuell ist die sonst gut gemachte Doku hier zu finden:
http://fhost1.no-ip.info/air09_dokumentation.pdf
Member: strolchiii
strolchiii Dec 22, 2010 at 12:53:33 (UTC)
Goto Top
Hallo!

Der Bereich der Dokumentation in dem beschrieben steht wie den einzelnen Gruppen ein entsprechendes VLAN zugewiesen wird durften wir aufgrund von sicherheitstechnischen Gründen nicht veröffentlicht werden. Wenn ich mich allerdings noch recht erinnere geschah das ganze über folgende Konfiguration in der FreeRADIUS Konfigurationsdatei:

DEFAULT Ldap-Group == "enabled", Auth-Type := LDAP 

   Tunnel-Medium-Type = IEEE-802, 
   Tunnel-Type = VLAN, 
   Tunnel-Private-Group-Id = "3" 

Ich hoffe das hilft.

Die Doku steht übrigens wieder unter diesem Link zur Verfügung.

Gruß
felix
Member: aqui
aqui Jan 07, 2011, updated at Oct 18, 2012 at 16:45:25 (UTC)
Goto Top
Ist sonst auch im 802.1x Tutorial hier nochmal beschrieben:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Member: paddix
paddix Jul 27, 2011 at 10:36:29 (UTC)
Goto Top
Hallo liebe Administrator-Community!

Die Doku ist leider wieder down. face-sad Hat sie vllt noch Jemand und könnte sie irgendwo uppen, oder mir bitte per Mail schicken?

Vielen Dank
Member: strolchiii
strolchiii Jul 27, 2011 at 10:54:24 (UTC)
Goto Top
And we're back again. (-:
Member: paddix
paddix Jul 27, 2011 at 11:24:49 (UTC)
Goto Top
Lichtgeschwindigkeit! Besten Dank!
Member: aqui
aqui Apr 26, 2012 at 18:05:28 (UTC)
Goto Top