Frage ist gelöstFreeRADIUS Active Directory PEAP-MSCHAPv2 mit LDAP Gruppenfilter
19.09.2011
09:58:53 Uhr1283 Aufrufe
4 Antworten
09:58:53 Uhr
4 Antworten
Anspruchsvoll +1
Hallo,
ich habe FreeRADIUS erfolgreich für die Authentifizierung mit Active Directory über ntlm_auth eingerichtet.
ich habe FreeRADIUS erfolgreich für die Authentifizierung mit Active Directory über ntlm_auth eingerichtet.
Nun möchte ich, dass nur eine bestimmte Gruppe aus dem AD Zugriff auf das WLAN hat.
Das sollte ja mittels LDAP-Modul möglich sein.
Leider weiss ich nicht wie ich das umsetzen kann und auch Google war mir bisher leider keine Hilfe.
Kann mir da jemand von Euch einen Tip geben?
Gruß paddix
Das sollte ja mittels LDAP-Modul möglich sein.
Leider weiss ich nicht wie ich das umsetzen kann und auch Google war mir bisher leider keine Hilfe.
Kann mir da jemand von Euch einen Tip geben?
Gruß paddix
aqui schreibt am 19.09.2011 um 12:40:22 Uhr
Das hast du gelesen ??
http://www.administrator.de/index.php?con ...
http://www.administrator.de/index.php?con ...
paddix schreibt am 19.09.2011 um 13:09:44 Uhr
Hi aqui,
ja, Deinen Beitrag habe ich gelesen. Es läuft ja auch schon alles supi, nur will ich den Zugriff auf eine Gruppe aus dem Active Directory beschränken.
Ich bin im Moment vom LDAP-Modul weg und teste mit ntlm_auth. Hier insbesondere den Parameter --require-membership-of=DOMÄNE/WLAN-ZUGRIFF ...
Kann das Funktionieren?
Über den ntlm_auth Befehl direkt, klappt das auch. Winbind listet auch alle Gruppen aus dem AD korrekt auf.
ntlm_auth --request-nt-key --username=NICHT_WLAN_NUTZER --require-membership-of=DOMÄN EWLAN-Zugriff
password:
NT_STATUS_LOGON_FAILURE: Logon failure (0xc000006d)
ntlm_auth --request-nt-key --username=WLAN_NUTZER --require-membership-of=DOMÄNEWLAN-Zugriff
password:
NT_STATUS_OK: Success (0x0)
Nur über Radius kann der NICHT_WLAN_NUTZER, sich trotzdem authentifizieren...
Auszug aus den ntlm_auth:
exec ntlm_auth {
wait = yes
program = "/usr/bin/ntlm_auth --request-nt-key --domain=DOMÄNE --require-membership-of='DOMÄNE/WLAN-Zugriff' --username=%{mschap:User-Name} --password=%{U$rd=%{User-Password}"
}
Fällt dir dazu was ein?
ja, Deinen Beitrag habe ich gelesen. Es läuft ja auch schon alles supi, nur will ich den Zugriff auf eine Gruppe aus dem Active Directory beschränken.
Ich bin im Moment vom LDAP-Modul weg und teste mit ntlm_auth. Hier insbesondere den Parameter --require-membership-of=DOMÄNE/WLAN-ZUGRIFF ...
Kann das Funktionieren?
Über den ntlm_auth Befehl direkt, klappt das auch. Winbind listet auch alle Gruppen aus dem AD korrekt auf.
ntlm_auth --request-nt-key --username=NICHT_WLAN_NUTZER --require-membership-of=DOMÄN EWLAN-Zugriff
password:
NT_STATUS_LOGON_FAILURE: Logon failure (0xc000006d)
ntlm_auth --request-nt-key --username=WLAN_NUTZER --require-membership-of=DOMÄNEWLAN-Zugriff
password:
NT_STATUS_OK: Success (0x0)
Nur über Radius kann der NICHT_WLAN_NUTZER, sich trotzdem authentifizieren...
Auszug aus den ntlm_auth:
exec ntlm_auth {
wait = yes
program = "/usr/bin/ntlm_auth --request-nt-key --domain=DOMÄNE --require-membership-of='DOMÄNE/WLAN-Zugriff' --username=%{mschap:User-Name} --password=%{U$rd=%{User-Password}"
}
Fällt dir dazu was ein?
paddix schreibt am 19.09.2011 um 14:58:09 Uhr
Es handelt sich dabei um eine Projektarbeit. FreeRADIUS hat keine Einschränkungen im Vergleich zum Windows-RADIUS (50 clients), ist auf dem neusten Stand, er läuft hier läuft unter VMware ESXi nebst vielen anderen Linux-Systemen und benötigt kaum Recourcen.
@topic
Problem gelöst, geht alles supi! Die Lösung lag in der Anpassung der mschap Datei!
CLOSED.
@topic
Problem gelöst, geht alles supi! Die Lösung lag in der Anpassung der mschap Datei!
CLOSED.
