9
VLAN Zuweisung bevor man sich im System anmeldet
Ich habe einen Freeradius Server mit SSL Support, LDAP Authetifizierung über TLS Tertifikate und VLAN Zuweisung am laufen.
Soweit so gut. Das funktioniert auch alles wenn ich mich an einem lokalen Benutzerkonto anmelde und mich danach über einen 802.1X Client gegen den Radius authentifiziere, bekomme ich danach mein gewünschtes VLAN zugewiesen und habe ab dann Zugang zum Netz.
Jetzt ist es aber so, dass ich mich über mein LDAP auch noch anmelden will und nicht nur an einem lokalen Benutzerkonto. Das Problem hierbei ist, dass ich ja bevor ich mich gegen den Radius authentifiziere kein Zugang zum LDAP bzw. zu irgendeinem Netz habe und mich somit auch nicht am System anmelden kann. Gibt es eine Möglichkeit, bevor die Benutzeranmeldung erfolgt, schon die 802.1x Authentifizierung durchzuführen damit ich danach Netzzugriff für die Anmeldung über LDAP habe?
Würde mich sehr über Vorschläge freuen.
Grüße
Jetzt ist es aber so, dass ich mich über mein LDAP auch noch anmelden will und nicht nur an einem lokalen Benutzerkonto. Das Problem hierbei ist, dass ich ja bevor ich mich gegen den Radius authentifiziere kein Zugang zum LDAP bzw. zu irgendeinem Netz habe und mich somit auch nicht am System anmelden kann. Gibt es eine Möglichkeit, bevor die Benutzeranmeldung erfolgt, schon die 802.1x Authentifizierung durchzuführen damit ich danach Netzzugriff für die Anmeldung über LDAP habe?
Würde mich sehr über Vorschläge freuen.
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 152582
Url: https://administrator.de/contentid/152582
Printed on: April 16, 2024 at 05:04 o'clock
9 Comments
Latest comment
Das ist auch gar nicht erforderlich !! Der Radius Server muss aber einen LDAP Zugang haben, damit er dich mit deinem LDAP Account authentifizieren kann ! So wird ein Schuh draus !
Wie du FreeRadius in LDAP einbindest sagen dir unzählige Dokumente im Web. Dr. Google ist wie immer dein Freund !
http://www.rrze.uni-erlangen.de/dienste/arbeiten-rechnen/linux/howtos/l ...
Dynamische VLAN-Zuweisung mit FreeRADIUS und Active Directory
usw. usw.
Wie du FreeRadius in LDAP einbindest sagen dir unzählige Dokumente im Web. Dr. Google ist wie immer dein Freund !
http://www.rrze.uni-erlangen.de/dienste/arbeiten-rechnen/linux/howtos/l ...
Dynamische VLAN-Zuweisung mit FreeRADIUS und Active Directory
usw. usw.
Prima! Die beiden Anleitungen habe ich auch schon bei der Authentifizierung meiner Benutzer mitels Freeradius gelesen! Und das funktioniert auch einwandfrei mit der Konfiguration von:
http://www.rrze.uni-erlangen.de/dienste/arbeiten-rechnen/linux/howtos/l ...
Du scheinst aber mein Problem nicht zu verstehen. Ich will mich am Windows über das LDAP Konto anmelden. Wenn ich aber noch kein VLAN vom Radius bekommen habe, erreiche ich das LDAP nicht. Verstehst du das?
Freundliche Grüße
Burge550
http://www.rrze.uni-erlangen.de/dienste/arbeiten-rechnen/linux/howtos/l ...
Du scheinst aber mein Problem nicht zu verstehen. Ich will mich am Windows über das LDAP Konto anmelden. Wenn ich aber noch kein VLAN vom Radius bekommen habe, erreiche ich das LDAP nicht. Verstehst du das?
Freundliche Grüße
Burge550
DU hast es nicht verstanden...sorry. Dreh und Angelpunkt ist doch erstmal der Radius Server. Der .1x Client kann erstmal nur per EaPOL (EAP over LAN) mit dem Switch sprechen. Kein anderes Protokoll !! Der Switch wiederum fragt dann den Radius Server ob der User darf und das kann er dann auch über LDAP machen.
Wenn du einen Domänen Login meinst, dann reicht es sich einmal an der Domäne ohne .1x angemeldet zu haben, dann klappt das weitere LDAP Login auch so.
Ansonsten musst du das Login Zertifikat manuel auf den Client einspielen. Das löst das Problem ! Oder...den IAS zum Authentifizieren verwenden.
Wenn du einen Domänen Login meinst, dann reicht es sich einmal an der Domäne ohne .1x angemeldet zu haben, dann klappt das weitere LDAP Login auch so.
Ansonsten musst du das Login Zertifikat manuel auf den Client einspielen. Das löst das Problem ! Oder...den IAS zum Authentifizieren verwenden.
Ich nochmal... sorry ich stehe glaube ich immer noch auf dem Schlauch.
Ich bin jetzt gerade soweit, dass ich die Geschichte mit den Zertifikaten nochmals hinten an gestellt habe, da ich den Kommentar von Aqui nicht verstehe bzw. nachvollziehen kann.
Im Moment melde ich mich jetzt der Mac Adresse am Radius Server an und bekomme dann aber vom LDAP das VLAN zugewiesen (Kann mir nicht vorstellen, dass das schonmal jemand so gemacht hat da ich keine einzige Anleitung im Internet dazu gefunden habe und man normalerweise auch das VLAN vom Radius bekommt, da man da auch die MAC Adresse einträgt) Finde diese Möglichkeit aber am besten, da man dann einfach im LDAP einen "Host" mit den 3 VLAN Attributen und der Mac Adresse anlegt und in der radiusd.conf die folgende Zeile anpasst:
filter = "(uid=%{Stripped-User-Name:-%{User-Name}})" umändern in: filter = "(macAddress=%{Stripped-User-Name:-%{User-Name}})"
Das funktioniert jetzt auch! Ich bekomme vor der Windows LDAP Anmeldung an meiner Domäne das gewünschte VLAN aus dem LDAP und kann mich danach anmelden. Ein großer Vorteil ist es hier auch, dass man die Konfiguration vom Radius immer so lassen kann und man nur ins LDAP eingreifen muss.
Wie bekomme ich jetzt da noch meine Zertifikatsauthentifizierung rein??? Jemand eine Idee? Praktische Erfahrungen wird wohl eher keiner haben...aus dem oben genannten Grund! Lasse mich aber auch gerne eines besseren belehren.
Grüße Burge550
Ich bin jetzt gerade soweit, dass ich die Geschichte mit den Zertifikaten nochmals hinten an gestellt habe, da ich den Kommentar von Aqui nicht verstehe bzw. nachvollziehen kann.
Im Moment melde ich mich jetzt der Mac Adresse am Radius Server an und bekomme dann aber vom LDAP das VLAN zugewiesen (Kann mir nicht vorstellen, dass das schonmal jemand so gemacht hat da ich keine einzige Anleitung im Internet dazu gefunden habe und man normalerweise auch das VLAN vom Radius bekommt, da man da auch die MAC Adresse einträgt) Finde diese Möglichkeit aber am besten, da man dann einfach im LDAP einen "Host" mit den 3 VLAN Attributen und der Mac Adresse anlegt und in der radiusd.conf die folgende Zeile anpasst:
filter = "(uid=%{Stripped-User-Name:-%{User-Name}})" umändern in: filter = "(macAddress=%{Stripped-User-Name:-%{User-Name}})"
Das funktioniert jetzt auch! Ich bekomme vor der Windows LDAP Anmeldung an meiner Domäne das gewünschte VLAN aus dem LDAP und kann mich danach anmelden. Ein großer Vorteil ist es hier auch, dass man die Konfiguration vom Radius immer so lassen kann und man nur ins LDAP eingreifen muss.
Wie bekomme ich jetzt da noch meine Zertifikatsauthentifizierung rein??? Jemand eine Idee? Praktische Erfahrungen wird wohl eher keiner haben...aus dem oben genannten Grund! Lasse mich aber auch gerne eines besseren belehren.
Grüße Burge550
Keiner eine Ahnung oder ne theoretische Idee wie man das vielleicht machen könnte?
Bitte um kurze Kommentare
Bitte um kurze Kommentare
Also weiß nicht ob ich das ganz kapiert habe 
Du tust dich vor der User Anmeldung per MAC Authentifizieren und bekommst so dann vom LDAP->RADIUS->SWITCH dein VLAN zugewiesen. Und jetzt willst du damit sich der Benutzer nach der Anmeldung per Client Zertifikate am RADIUS Authentifiziert umd z.b. andere Berechtigungen zu bekommen?
Brauchst doch dan nur noch die Zertifikate hinterlegen die du z.b. aufem RADIUS erstellt hast, die entsprechende Autehntifizierung aktivieren und dann sollte es doch funktionieren.
Könntest aber auch ein GAST VLAN anlegen, in welches zuerst alle Rechner kommen, somit dann z.b. nur Zugriff auf deinen LDAP haben um das das Profil laden zu können und nach der Anmeldung mit Clientzertifikate erst richtig Authentifiziert werden und dann in das richtige VLAN verwiesen werden....
Du tust dich vor der User Anmeldung per MAC Authentifizieren und bekommst so dann vom LDAP->RADIUS->SWITCH dein VLAN zugewiesen. Und jetzt willst du damit sich der Benutzer nach der Anmeldung per Client Zertifikate am RADIUS Authentifiziert umd z.b. andere Berechtigungen zu bekommen?
Brauchst doch dan nur noch die Zertifikate hinterlegen die du z.b. aufem RADIUS erstellt hast, die entsprechende Autehntifizierung aktivieren und dann sollte es doch funktionieren.
Könntest aber auch ein GAST VLAN anlegen, in welches zuerst alle Rechner kommen, somit dann z.b. nur Zugriff auf deinen LDAP haben um das das Profil laden zu können und nach der Anmeldung mit Clientzertifikate erst richtig Authentifiziert werden und dann in das richtige VLAN verwiesen werden....
Hallo zusammen.
Sorry aber jetzt will mein Chef nicht mehr Zertifikate haben weil er zur Verwaltung der vielen Zertifikate eine eigene PKI brauchen würde. Er möchte nun die Anmeldung mittels Username Passwort für Clienrechner und mittels MAC-Authentifizierung unsere IP Telefone und Drucker im Radius anmelden.
Problem ist nun, dass ich die Benutzernamen und Passwörter aus dem LDAP raus holen muss. Ich habe nun testweise mein Notebook mit MAC OSX, welches ich authentifizieren möchten (es muss auf MAC OSX funktionieren, weil in unserer Firma ca. 100 MACs stehen). Dort habe ich als 802.1X - Methode MD5 eingestellt. Das selbe habe ich auch in der EAP.conf als Default Methode auf dem Radius Server eingestellt. Wenn ich mich nun anmelden will kommt im Debuggmodus vom Radius:
Cleartext-Passwort is required for EAP-MD5 Authentication.
Wenn ich nun in der LDAP Mapping Datei ldap.attrmap das checkItem User-Passwort nicht auf das LDAP Attribut userPasswort mappe sondern auf ein Attribut-Fenster indem in Klarschrift mein Passwort steht z.B gecos, dann funktioniert alles wunderbar.
Das ist ja aber wohl nicht der Sinn der Sache. Wenn ein Mitarbeiter sein Passwort ändert würde es so nicht übernommen werden und der Admin würde alle Passwörter der Mitarbeiter kennen, weil das Passwort in Klarschrift im LDAP eingetragen werden müsste. Muss ich eine andere Authentifizierungs Methode als MD5 wählen oder woran liegt das, dass der Radius Server nicht mit dem LDAP Attribut userPasswort klar kommt (hier steht das Passwort in einem MD5 Hash drin) obwohl das Mapping eingetragen ist aber immer eine Fehlermeldung bei der Authentifizierung kommt.
Kann mir jemand helfen? Aqui??
Sorry aber jetzt will mein Chef nicht mehr Zertifikate haben weil er zur Verwaltung der vielen Zertifikate eine eigene PKI brauchen würde. Er möchte nun die Anmeldung mittels Username Passwort für Clienrechner und mittels MAC-Authentifizierung unsere IP Telefone und Drucker im Radius anmelden.
Problem ist nun, dass ich die Benutzernamen und Passwörter aus dem LDAP raus holen muss. Ich habe nun testweise mein Notebook mit MAC OSX, welches ich authentifizieren möchten (es muss auf MAC OSX funktionieren, weil in unserer Firma ca. 100 MACs stehen). Dort habe ich als 802.1X - Methode MD5 eingestellt. Das selbe habe ich auch in der EAP.conf als Default Methode auf dem Radius Server eingestellt. Wenn ich mich nun anmelden will kommt im Debuggmodus vom Radius:
Cleartext-Passwort is required for EAP-MD5 Authentication.
Wenn ich nun in der LDAP Mapping Datei ldap.attrmap das checkItem User-Passwort nicht auf das LDAP Attribut userPasswort mappe sondern auf ein Attribut-Fenster indem in Klarschrift mein Passwort steht z.B gecos, dann funktioniert alles wunderbar.
Das ist ja aber wohl nicht der Sinn der Sache. Wenn ein Mitarbeiter sein Passwort ändert würde es so nicht übernommen werden und der Admin würde alle Passwörter der Mitarbeiter kennen, weil das Passwort in Klarschrift im LDAP eingetragen werden müsste. Muss ich eine andere Authentifizierungs Methode als MD5 wählen oder woran liegt das, dass der Radius Server nicht mit dem LDAP Attribut userPasswort klar kommt (hier steht das Passwort in einem MD5 Hash drin) obwohl das Mapping eingetragen ist aber immer eine Fehlermeldung bei der Authentifizierung kommt.
Kann mir jemand helfen? Aqui??
Also die Authentifizierung mittels MAC Addresse und mittels Benutzername Passwort funktioniert jetzt. Ich habe in meinem MAC TTLS mit PAP ausgewählt, da nur PAP mit den Crypted Passwords in einem LDAP Baum umgehen und abgleichen kann. In meiner EAP.conf steht als default type == MD5.
Das Problem ist nun wiederrum ein anderes: Bei der erfolgreichen Authentifizierung mittels MAC bekomme ich das VLAN aus meinem LDAP zugewiesen. Bei der erfolgreichen Authentifizierung mittels TTLS und PAP bekomme ich zwar im Debugg Modus die Meldung, dass als replayItem mein VLAN übermittelt wurde aber ich bekomme keine IP Adresse auf meinem MACOSX. Im AT - Switch kommt als Meldung:
MAC 00:17:f2:d0:59:6a was rejected on port e2 because Radius accept message does not contain VLAN ID
Das verstehe ich aber nicht, da ich bei der Authentifizierung mittels MAC Adresse und bei der Authentifizierung mittels Benutzername/Passwort die gleichen Attribute im LDAP verwende....
Jemand eine Idee??? Bitte um Rückantwort. Bin um jede Nachricht dankbar
Das Problem ist nun wiederrum ein anderes: Bei der erfolgreichen Authentifizierung mittels MAC bekomme ich das VLAN aus meinem LDAP zugewiesen. Bei der erfolgreichen Authentifizierung mittels TTLS und PAP bekomme ich zwar im Debugg Modus die Meldung, dass als replayItem mein VLAN übermittelt wurde aber ich bekomme keine IP Adresse auf meinem MACOSX. Im AT - Switch kommt als Meldung:
MAC 00:17:f2:d0:59:6a was rejected on port e2 because Radius accept message does not contain VLAN ID
Das verstehe ich aber nicht, da ich bei der Authentifizierung mittels MAC Adresse und bei der Authentifizierung mittels Benutzername/Passwort die gleichen Attribute im LDAP verwende....
Jemand eine Idee??? Bitte um Rückantwort. Bin um jede Nachricht dankbar
Also kurzes Status Update:
Das oben genannte Problem habe ich gelöst. Ich brauche beim Authentifizieren mit TTLS und PAP in der EAP.conf unter der Rubrik TTLS die Option:
use_tunneled_reply = yes
Nun weiter im Programm...
Nachdem ich mich jetzt einwandfrei mit Mac Adresse oder Benutzername/Passwort über TTLS mit PAP authentifizieren kann möchte ich nun die 802.1x Anmeldung bei Radius mit meinem Domänen-Login bei Windows Rechnern und mit der LDAP Anmeldung bei Linux Kisten realisieren. Beim Mac funktioniert auch das schon reibungslos (obwohl ich wirklich kein Apple Fan bin aber das haben sie echt gut hinbekommen)
Weiß jemand von euch wie ich die 802.1X Anmeldung gleichzeitig mit der Anmeldung an meinem PC-Konto (Domäne) hinbekomme?
Liebe Grüße Markus
Und langsam nähert sich das Eichhörnchen
Das oben genannte Problem habe ich gelöst. Ich brauche beim Authentifizieren mit TTLS und PAP in der EAP.conf unter der Rubrik TTLS die Option:
use_tunneled_reply = yes
Nun weiter im Programm...
Nachdem ich mich jetzt einwandfrei mit Mac Adresse oder Benutzername/Passwort über TTLS mit PAP authentifizieren kann möchte ich nun die 802.1x Anmeldung bei Radius mit meinem Domänen-Login bei Windows Rechnern und mit der LDAP Anmeldung bei Linux Kisten realisieren. Beim Mac funktioniert auch das schon reibungslos (obwohl ich wirklich kein Apple Fan bin aber das haben sie echt gut hinbekommen)Weiß jemand von euch wie ich die 802.1X Anmeldung gleichzeitig mit der Anmeldung an meinem PC-Konto (Domäne) hinbekomme?
Liebe Grüße Markus
Und langsam nähert sich das Eichhörnchen