strolchiii
Goto Top

Dynamische VLAN-Zuweisung mit FreeRADIUS und Active Directory

"[...] Die Aufgabenstellung unserer Diplomarbeit war, ein sicheres und zuverlässiges Funknetzwerk für unsere Schule zu realisieren.
Die Anbindung von Netzwerk-Clients über Funk-Vernetzung (WLAN) bietet gegenüber der Kabel-Anbindung gerade beim Einsatz von Notebooks in Schulen große Vorteile: Die lästigen Netzwerkkabel fallen weg, die Sitzordnung in der Klasse ist wesentlich flexibler. Wenn die Funkvernetzung im ganzen Schulgebäude verfügbar ist, steht diese flexible Netzanbindung sowohl den Schülern als auch den Lehrern zur Verfügung. Ein weiterer Punkt betrifft die Sicherheit des Netzwerkes. Durch die Umstellung des vorhandenen Netzwerkes im vorherigen Schuljahr wurden die technischen Voraussetzungen für eine zuverlässige und sichere Funk-LAN-Verbindung geschaffen. Durch den neuen WLAN Standard 802.11n und die WPA-Verschlüsselung kann eine zukunftssichere Lösung realisiert werden. Der Zugriff auf das Netzwerk wird über das Authentifizierungsverfahren 802.1X in Verbindung mit einem FreeRADIUS Server geregelt. Zudem werden die Benutzergruppen durch verschiedene virtuelle Netzwerke (VLAN) getrennt, um zusätzliche Sicherheit zu schaffen. Das Endziel ist es, ein Funk-Netzwerk zu schaffen, auf das flächendeckend vom gesamten Schulgelände aus auf möglichst sichere Art und Weise zugegriffen werden kann [...]"

So lautete die geforderte Aufgabenstellen bei unserer Diplomarbeit. Was dabei herausgekommen ist, könnt ihr in unserer Projektdokumentation begutachten.
Bei Fragen stehe ich gerne zur Verfügung! face-smile

gruß
felix

EDITH (siehe auch unten):

Der Bereich der Dokumentation in dem beschrieben steht wie den einzelnen Gruppen ein entsprechendes VLAN zugewiesen wird durften wir aufgrund von sicherheitstechnischen Gründen nicht veröffentlicht werden. Wenn ich mich allerdings noch recht erinnere geschah das ganze über folgende Konfiguration in der FreeRADIUS Konfigurationsdatei:

DEFAULT Ldap-Group == "enabled", Auth-Type := LDAP 

   Tunnel-Medium-Type = IEEE-802, 
   Tunnel-Type = VLAN, 
   Tunnel-Private-Group-Id = "3" 

Ich hoffe das hilft.

Content-Key: 127379

Url: https://administrator.de/contentid/127379

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: dog
dog 18.10.2009 um 18:47:57 Uhr
Goto Top
Vielleicht liegt es daran, dass ich es nur überflogen habe, aber...
wo wird denn erklärt, wie der RADIUS-Server die Benutzer den VLANs zuordnet?

Grüße

Max
Mitglied: aqui
aqui 19.10.2009, aktualisiert am 15.05.2023 um 16:48:01 Uhr
Goto Top
Sieht so aus als ob genau das nicht passiert ist (wäre sinnvoll gewesen). Scheinbar gibt es nur eine statische Zuweisung SSID zu VLAN (Seite 224).
Schade...da hätte man etwas mehr rausholen können bei der ansonsten sehr gut gemachten Doku ! Hätte auch den Aufwand der AP Konfig verringert...
Das es geht mit der dynamischen VLAN Zuweisung im Freeradius sieht man ja hier:
Freeradius Management mit WebGUI
Dynamisches Vlan bei Freeradius mit Alcatel switch
Dynamisches VLAN über WLAN mit FreeRadius und AD
Fragen zu NAS, Radius und verschiedenen Authentifizierungsmöglichkeiten
Mitglied: VooDoo4711
VooDoo4711 22.10.2009 um 14:02:34 Uhr
Goto Top
Hallo zusammen,

jetzt komm ich hier auch mal zu meinem ersten Posting face-smile

In den Anleitungen hier findet man leider immer nur, wie man das mit lokal auf dem Radius angelegten Nutzern macht.

Ich hab meine Nutzer im AD, HP ProCurve Switche, nen FreeRadius und Windows-/Linux-Maschinen.
Ziel ist es, dass wenn sich ein User anmeldet, oder sein Notebook einsteckt (später evtl auch via WLAN), dass er sich dann anmeldeet und der Radius Server ihn am AD authentifiziert und dann auch noch die zu seinem Account/seiner Gruppe gehörige VLAN-ID zurück gibt, die ihm dann der ProCuve Switch auflegt.

(Wie) geht das?

Vielen Dank schon mal!

Grüße,
Sven.
Mitglied: aqui
aqui 22.10.2009, aktualisiert am 18.10.2012 um 18:39:45 Uhr
Goto Top
Freeradius Server per LDAP ans AD hängen. Wie das geht steht hier:

http://www.air09.net/air09_dokumentation.pdf

Oder gleich den IAS mit auf den AD installieren, wenns ohne FreeRadius gehen soll.
Dann Freeradius ala:
Dynamisches Vlan bei Freeradius mit Alcatel switch
konfigurieren...fertich.
Gibt bei HP und anderen Switch Herstellern entsprechnde Whitepapers dazu...oder Dr. Google !
Mitglied: spacyfreak
spacyfreak 14.11.2009 um 20:42:14 Uhr
Goto Top
Warum man FreeRadius nehmen sollte, wenn man doch User aus dem Active Directory authentifizieren will erschliesst sich mir nicht wirklich.

Klar ist FreeRadius ein klasse Gratis-Radius, verwend ich auch gern.
Doch mit IAS von Mikrosaft ist der Radius in gefühlten 5 Minuten fertig konfiguriert, kann auch direkt mit drei Klicks risikolos auf dem Domaincontroller oder irgendnem Memberserver der eh in der Gegend rumsteht installiert werden ohne dass man extra ne Hardware oder VM dafür braucht, und man kann sich viel schneller wieder spannenderen Themen widmen, z. B. dem Popeln in der Nase.
Return Attribute kann man mit dem IAS reinkloppen in den RAS-Policy Einstellungen ... Profil... Advanced. Zack bumm fertig, läuft.
Mitglied: Wyerli
Wyerli 19.11.2009 um 11:15:16 Uhr
Goto Top
Hast du mir vileicht Infos für das einrichten von IAS und ist das nicht neu auf 2008 NAP?
Wir verwende eben nur noch 2008 Enterprise...
Mitglied: spacyfreak
spacyfreak 20.11.2009 um 16:10:37 Uhr
Goto Top
Ja kannst doch auch auf nem 2008er Windows Server IAS installieren (nicht zu verwechseln mit ISA oder IIS..) IAS = Internet Authentication Service = Radius in "mikrosaft-sprache"
Mitglied: mavrix
mavrix 13.12.2009 um 21:55:53 Uhr
Goto Top
Hallo,

leider geht der Link nicht, hätte mir gerne mal die Doku angesehen.
Vg
Markus
Mitglied: 33531
33531 04.01.2010 um 11:23:10 Uhr
Goto Top
Hallo.

Bevor es noch mehr Verwirrung gibt:

Unter Windows Server 2008 heisst der IAS jetzt NPS (Network Policy Service) und hat, zusätzlich zu den Radius-Funktionen noch Zusatzfunktionen für Microsofts Network Access Protection (NAP) dazugelernt.

Gruß

Gerd
Mitglied: strolchiii
strolchiii 20.01.2010 um 20:33:08 Uhr
Goto Top
Die Doku ist wieder verfügbar. face-smile
Mitglied: aqui
aqui 22.12.2010 um 12:27:17 Uhr
Goto Top
Die Doku Webseite ist tot. Aktuell ist die sonst gut gemachte Doku hier zu finden:
http://fhost1.no-ip.info/air09_dokumentation.pdf
Mitglied: strolchiii
strolchiii 22.12.2010 um 13:53:33 Uhr
Goto Top
Hallo!

Der Bereich der Dokumentation in dem beschrieben steht wie den einzelnen Gruppen ein entsprechendes VLAN zugewiesen wird durften wir aufgrund von sicherheitstechnischen Gründen nicht veröffentlicht werden. Wenn ich mich allerdings noch recht erinnere geschah das ganze über folgende Konfiguration in der FreeRADIUS Konfigurationsdatei:

DEFAULT Ldap-Group == "enabled", Auth-Type := LDAP 

   Tunnel-Medium-Type = IEEE-802, 
   Tunnel-Type = VLAN, 
   Tunnel-Private-Group-Id = "3" 

Ich hoffe das hilft.

Die Doku steht übrigens wieder unter diesem Link zur Verfügung.

Gruß
felix
Mitglied: aqui
aqui 07.01.2011, aktualisiert am 18.10.2012 um 18:45:25 Uhr
Goto Top
Ist sonst auch im 802.1x Tutorial hier nochmal beschrieben:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Mitglied: paddix
paddix 27.07.2011 um 12:36:29 Uhr
Goto Top
Hallo liebe Administrator-Community!

Die Doku ist leider wieder down. face-sad Hat sie vllt noch Jemand und könnte sie irgendwo uppen, oder mir bitte per Mail schicken?

Vielen Dank
Mitglied: strolchiii
strolchiii 27.07.2011 um 12:54:24 Uhr
Goto Top
And we're back again. (-:
Mitglied: paddix
paddix 27.07.2011 um 13:24:49 Uhr
Goto Top
Lichtgeschwindigkeit! Besten Dank!
Mitglied: aqui
aqui 26.04.2012 um 20:05:28 Uhr
Goto Top