Nickname
Passwort | vergessen?

506 anonyme User

10 angemeldete Mitglieder


D3adm4n
goscho
GuentherH
Luie86
Skyemugen
transocean
76248 Mitglieder freuen sich auf Dich!
Top-Aktivitäten
Sehen Sie hier, wer zu den aktivsten Mitgliedern der aktuellen Woche zählt:
In den Bereich LAN, WAN und Wireless wechseln ..

Dynamische VLAN-Zuweisung mit FreeRADIUS und Active Directory

Mitglied: strolchiii
Geschrieben von strolchiii (Level 1 - Frischling)
Erstellt am 18.10.2009, um 15:44:13 Uhr, Permanent-ID: 127379
Dieser Beitrag wurde bisher 12175 mal aufgerufen und gilt als gelöst.
1 von 1 Mitglied fand diese Anleitung hilfreich.
Hilfreich+1 hilfreichDruckenBeobachten
"[...] Die Aufgabenstellung unserer Diplomarbeit war, ein sicheres und zuverlässiges Funknetzwerk für unsere Schule zu realisieren.
Die Anbindung von Netzwerk-Clients über Funk-Vernetzung (WLAN) bietet gegenüber der Kabel-Anbindung gerade beim Einsatz von Notebooks in Schulen große Vorteile: Die lästigen Netzwerkkabel fallen weg, die Sitzordnung in der Klasse ist wesentlich flexibler. Wenn die Funkvernetzung im ganzen Schulgebäude verfügbar ist, steht diese flexible Netzanbindung sowohl den Schülern als auch den Lehrern zur Verfügung. Ein weiterer Punkt betrifft die Sicherheit des Netzwerkes. Durch die Umstellung des vorhandenen Netzwerkes im vorherigen Schuljahr wurden die technischen Voraussetzungen für eine zuverlässige und sichere Funk-LAN-Verbindung geschaffen. Durch den neuen WLAN Standard 802.11n und die WPA-Verschlüsselung kann eine zukunftssichere Lösung realisiert werden. Der Zugriff auf das Netzwerk wird über das Authentifizierungsverfahren 802.1X in Verbindung mit einem FreeRADIUS Server geregelt. Zudem werden die Benutzergruppen durch verschiedene virtuelle Netzwerke (VLAN) getrennt, um zusätzliche Sicherheit zu schaffen. Das Endziel ist es, ein Funk-Netzwerk zu schaffen, auf das flächendeckend vom gesamten Schulgelände aus auf möglichst sichere Art und Weise zugegriffen werden kann [...]"

So lautete die geforderte Aufgabenstellen bei unserer Diplomarbeit. Was dabei herausgekommen ist, könnt ihr in unserer Projektdokumentation begutachten.
Bei Fragen stehe ich gerne zur Verfügung! face-smile

gruß
felix

EDITH (siehe auch unten):

Der Bereich der Dokumentation in dem beschrieben steht wie den einzelnen Gruppen ein entsprechendes VLAN zugewiesen wird durften wir aufgrund von sicherheitstechnischen Gründen nicht veröffentlicht werden. Wenn ich mich allerdings noch recht erinnere geschah das ganze über folgende Konfiguration in der FreeRADIUS Konfigurationsdatei:

DEFAULT Ldap-Group == "enabled", Auth-Type := LDAP  
 
   Tunnel-Medium-Type = IEEE-802,  
   Tunnel-Type = VLAN,  
   Tunnel-Private-Group-Id = "3" 

Ich hoffe das hilft.
Kommentar schreibenMit Zitat
Anmeldung erforderlich!
Bitte melden Sie sich erst mit Ihrem Nicknamen und Passwort an.
Diskussionsverlauf (16 Kommentare)
thread
dog
Kommentar dog schreibt am 18.10.2009, 18:47:57 Uhr
Vielleicht liegt es daran, dass ich es nur überflogen habe, aber...
wo wird denn erklärt, wie der RADIUS-Server die Benutzer den VLANs zuordnet?

Grüße

Max
AntwortenMit Zitat
Anmeldung erforderlich!
Bitte melden Sie sich erst mit Ihrem Nicknamen und Passwort an.
thread
aqui
Kommentar aqui schreibt am 19.10.2009, 15:07:55 Uhr
Sieht so aus als ob genau das nicht passiert ist (wäre sinnvoll gewesen). Scheinbar gibt es nur eine statische Zuweisung SSID zu VLAN (Seite 224).
Schade...da hätte man etwas mehr rausholen können bei der ansonsten sehr gut gemachten Doku ! Hätte auch den Aufwand der AP Konfig verringert...
Das es geht mit der dynamischen VLAN Zuweisung im Freeradius sieht man ja hier:
http://www.administrator.de/index.php?con ...
http://www.administrator.de/index.php?con ...
http://www.administrator.de/index.php?con ...
AntwortenMit Zitat
Anmeldung erforderlich!
Bitte melden Sie sich erst mit Ihrem Nicknamen und Passwort an.
thread
VooDoo4711
Kommentar VooDoo4711 schreibt am 22.10.2009, 14:02:34 Uhr
Hallo zusammen,

jetzt komm ich hier auch mal zu meinem ersten Posting face-smile

In den Anleitungen hier findet man leider immer nur, wie man das mit lokal auf dem Radius angelegten Nutzern macht.

Ich hab meine Nutzer im AD, HP ProCurve Switche, nen FreeRadius und Windows-/Linux-Maschinen.
Ziel ist es, dass wenn sich ein User anmeldet, oder sein Notebook einsteckt (später evtl auch via WLAN), dass er sich dann anmeldeet und der Radius Server ihn am AD authentifiziert und dann auch noch die zu seinem Account/seiner Gruppe gehörige VLAN-ID zurück gibt, die ihm dann der ProCuve Switch auflegt.

(Wie) geht das?

Vielen Dank schon mal!

Grüße,
Sven.
AntwortenMit Zitat
Anmeldung erforderlich!
Bitte melden Sie sich erst mit Ihrem Nicknamen und Passwort an.
thread
aqui
Kommentar aqui schreibt am 22.10.2009, 20:41:50 Uhr
Freeradius Server per LDAP ans AD hängen. Wie das geht steht hier:

http://www.air09.net/air09_dokumentation. ...

Oder gleich den IAS mit auf den AD installieren, wenns ohne FreeRadius gehen soll.
Dann Freeradius ala:
http://www.administrator.de/index.php?con ...
konfigurieren...fertich.
Gibt bei HP und anderen Switch Herstellern entsprechnde Whitepapers dazu...oder Dr. Google !
AntwortenMit Zitat
Anmeldung erforderlich!
Bitte melden Sie sich erst mit Ihrem Nicknamen und Passwort an.
thread
spacyfreak
Kommentar spacyfreak schreibt am 14.11.2009, 20:42:14 Uhr
Warum man FreeRadius nehmen sollte, wenn man doch User aus dem Active Directory authentifizieren will erschliesst sich mir nicht wirklich.

Klar ist FreeRadius ein klasse Gratis-Radius, verwend ich auch gern.
Doch mit IAS von Mikrosaft ist der Radius in gefühlten 5 Minuten fertig konfiguriert, kann auch direkt mit drei Klicks risikolos auf dem Domaincontroller oder irgendnem Memberserver der eh in der Gegend rumsteht installiert werden ohne dass man extra ne Hardware oder VM dafür braucht, und man kann sich viel schneller wieder spannenderen Themen widmen, z. B. dem Popeln in der Nase.
Return Attribute kann man mit dem IAS reinkloppen in den RAS-Policy Einstellungen ... Profil... Advanced. Zack bumm fertig, läuft.
AntwortenMit Zitat
Anmeldung erforderlich!
Bitte melden Sie sich erst mit Ihrem Nicknamen und Passwort an.
thread
Wyerli
Kommentar Wyerli schreibt am 19.11.2009, 11:15:16 Uhr
Hast du mir vileicht Infos für das einrichten von IAS und ist das nicht neu auf 2008 NAP?
Wir verwende eben nur noch 2008 Enterprise...
AntwortenMit Zitat
Anmeldung erforderlich!
Bitte melden Sie sich erst mit Ihrem Nicknamen und Passwort an.
thread
spacyfreak
Kommentar spacyfreak schreibt am 20.11.2009, 16:10:37 Uhr
Ja kannst doch auch auf nem 2008er Windows Server IAS installieren (nicht zu verwechseln mit ISA oder IIS..) IAS = Internet Authentication Service = Radius in "mikrosaft-sprache"
AntwortenMit Zitat
Anmeldung erforderlich!
Bitte melden Sie sich erst mit Ihrem Nicknamen und Passwort an.
thread
mavrix
Kommentar mavrix schreibt am 13.12.2009, 21:55:53 Uhr
Hallo,

leider geht der Link nicht, hätte mir gerne mal die Doku angesehen.
Vg
Markus
AntwortenMit Zitat
Anmeldung erforderlich!
Bitte melden Sie sich erst mit Ihrem Nicknamen und Passwort an.
thread
gschelbe
Kommentar gschelbe schreibt am 04.01.2010, 11:23:10 Uhr
Hallo.

Bevor es noch mehr Verwirrung gibt:

Unter Windows Server 2008 heisst der IAS jetzt NPS (Network Policy Service) und hat, zusätzlich zu den Radius-Funktionen noch Zusatzfunktionen für Microsofts Network Access Protection (NAP) dazugelernt.

Gruß

Gerd
AntwortenMit Zitat
Anmeldung erforderlich!
Bitte melden Sie sich erst mit Ihrem Nicknamen und Passwort an.
thread
strolchiii
Kommentar strolchiii schreibt am 20.01.2010, 20:33:08 Uhr
Die Doku ist wieder verfügbar. face-smile
AntwortenMit Zitat
Anmeldung erforderlich!
Bitte melden Sie sich erst mit Ihrem Nicknamen und Passwort an.
thread
aqui
Kommentar aqui schreibt am 22.12.2010, 12:27:17 Uhr
Die Doku Webseite ist tot. Aktuell ist die sonst gut gemachte Doku hier zu finden:
http://fhost1.no-ip.info/air09_dokumentat ...
AntwortenMit Zitat
Anmeldung erforderlich!
Bitte melden Sie sich erst mit Ihrem Nicknamen und Passwort an.
thread
strolchiii
Kommentar strolchiii schreibt am 22.12.2010, 13:53:33 Uhr
Hallo!

Der Bereich der Dokumentation in dem beschrieben steht wie den einzelnen Gruppen ein entsprechendes VLAN zugewiesen wird durften wir aufgrund von sicherheitstechnischen Gründen nicht veröffentlicht werden. Wenn ich mich allerdings noch recht erinnere geschah das ganze über folgende Konfiguration in der FreeRADIUS Konfigurationsdatei:

DEFAULT Ldap-Group == "enabled", Auth-Type := LDAP  
 
   Tunnel-Medium-Type = IEEE-802,  
   Tunnel-Type = VLAN,  
   Tunnel-Private-Group-Id = "3" 

Ich hoffe das hilft.

Die Doku steht übrigens wieder unter diesem Link zur Verfügung.

Gruß
felix
AntwortenMit Zitat
Anmeldung erforderlich!
Bitte melden Sie sich erst mit Ihrem Nicknamen und Passwort an.
thread
aqui
Kommentar aqui schreibt am 07.01.2011, 09:34:17 Uhr
Ist sonst auch im 802.1x Tutorial hier nochmal beschrieben:
http://www.administrator.de/index.php?con ...
AntwortenMit Zitat
Anmeldung erforderlich!
Bitte melden Sie sich erst mit Ihrem Nicknamen und Passwort an.
thread
paddix
Kommentar paddix schreibt am 27.07.2011, 12:36:29 Uhr
Hallo liebe Administrator-Community!

Die Doku ist leider wieder down. face-sad Hat sie vllt noch Jemand und könnte sie irgendwo uppen, oder mir bitte per Mail schicken?

Vielen Dank
AntwortenMit Zitat
Anmeldung erforderlich!
Bitte melden Sie sich erst mit Ihrem Nicknamen und Passwort an.
thread
strolchiii
Kommentar strolchiii schreibt am 27.07.2011, 12:54:24 Uhr
And we're back again. (-:
AntwortenMit Zitat
Anmeldung erforderlich!
Bitte melden Sie sich erst mit Ihrem Nicknamen und Passwort an.
thread
paddix
Kommentar paddix schreibt am 27.07.2011, 13:24:49 Uhr
Lichtgeschwindigkeit! Besten Dank!
AntwortenMit Zitat
Anmeldung erforderlich!
Bitte melden Sie sich erst mit Ihrem Nicknamen und Passwort an.