henkam
Goto Top

Freeradius Server ohne Zertifikate betreiben

Hallo an Alle,
nach langer Zeit stehe ich mal wieder vor einem Problem. Auf der Basis von Suse 12.2 habe ich einen Freeradius Server installiert. Dieser soll für etwa 500 Personen (Bildungsinstitut) den zugang zum Internet über eine User/Passwort-Abfrage regeln. In vielen Beiträgen habe ich gelesen, dass dabei ein Zertifikat Userseits "eingelesen" werden muss. Dies - so denke ich - wird unsere Klientel eventuell "überfordern".
Für uns wäre eine Lösung sinnvoll, die lediglich Benutzername und Passwort abfragt, um per Laptop oder per Handy in's Internet zu gelangen.
Meine Frage also: Welche Einstellungen sind unter Freeradius vorzunehmen, um die Zertifikate-Problematik zu umgehen?
Zusatz: Ein Zertifikat habe ich serverseits schon erstellt und auf einem Stick gespeichert. Aber eine Verteilung auf 500 Personen - schwierig.
Gruß Hakam (immer noch Frischling)

Content-Key: 232716

Url: https://administrator.de/contentid/232716

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: 108012
108012 15.03.2014 um 09:32:38 Uhr
Goto Top
Hallo,

warum nimmst Du nicht einen Squid HTTP Proxy an dem
man sich einfach via Name & Passwort anmelden kann
und dann surfen kann? Squi & Squidguard sind Deine
Freunde in so einem Fall.

Der Proxy Kommt hinter die Firewall oder den Router
oder vor den LAN Switch und dann geht es los.

Wenn die 500 Zertifikate des Radius Servers verteilt sind
und die Verschlüsselung aktiviert ist, wird es Euch so oder
so einen ordentlichen "Schlag" auf LAN Kabel in Euer Netzwerk
"hauen" denn so etwas erzeugt eine enorme Last und die übrigen
Netzwerkkomponenten sollten so einer zusätzlichen Last auch
gewchsen sein!!!!

Gruß
Dobby
Mitglied: Henkam
Henkam 15.03.2014 um 13:14:35 Uhr
Goto Top
Hallo Dobby
Vielen Dank für Deine Antwort. squid unter Suse 12.2 war auch meine erste Idee. Ich hatte dort das Problem, aus der Squid.conf heraus eine externe Benutzerdatei (Benutzername, Passwort) aufzurufen. So landete ich dann in einem Linux-Forum und prompt empfahl man mir den Einsatz von Freeradius. Du siehst, man wird hin und her geschickt.
Ich finde auch, dass die reine Squidlösung einfacher ist und funktionieren müsste. Nun bin ich ein Linux-Frischling, habe Squid 3.?? installiert und kenne auch die Auth_param-Zeilen, die notwendig sind. Nur möchte ich in die Squid.conf keine Benutzer eintragen, sondern die Benutzerdatei aus der Squid.conf heraus aufrufen. Sie sollte unter Suse 12.2 z.B. im Ordner "/etc/sbin" gespeichert werden. An dieser Aufruf-Zeile war ich die ganze Zeit am "basteln", bis die Freeradius-Empfehlung kam.
Außerdem weiß ich auch nicht, in welchem Format eine externe (nicht in Squid.conf enthaltene) Benutzerauthentifizierungsdatei unter Linux vorliegen muss (CSV???) Solltest Du dieses Wissen haben, wäre ich froh, diese Informationen zu erhalten. So könnte ich mich wider auf meinen ursprünglichen Weg begeben.
Gruß Hakam
Mitglied: aqui
aqui 16.03.2014, aktualisiert am 15.05.2023 um 16:46:03 Uhr
Goto Top
Du musst das Zertikikat nicht zwingend installieren. Im Client kannst du die Zertifikat Überprüfung wegklicken (abwählen). Siehe Beschreibung im hiesigen Tutorial:
Freeradius Management mit WebGUI
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Damit ist dann das Zertifikat obsolet.

Damit besteht allerdings dann die Gefahr das den Clients jeder beliebige Radius "untergeschoben" werden die dann alles authentisieren.
Damit hebelst du eigentlich den tieferen Sinne eines Radius aus, was du dir sicher selber denken kannst. Zur Vereinfachung ist das aber möglich wenn du mit diesem gravierenden Nachteil leben kanst und es dir nur um eine zntralisierte User Verwaltung geht !
Mitglied: 108012
108012 16.03.2014 aktualisiert um 17:19:37 Uhr
Goto Top
Hallo,

Du dieses Wissen haben, wäre ich froh, diese Informationen zu erhalten.
So könnte ich mich wider auf meinen ursprünglichen Weg begeben.
Also ich hier zu Hause nutze keinen HTTP Proxy Server,
aber in einem anderen Beitrag hat jemand genau das
Gegenteil haben wollen, nämlich das sich seine Benutzer
nicht mehr mit Name und Passwort am HTTP Proxy
anmelden müssen, also von daher sollte es schon
eine Möglichkeit geben.

Möglich wäre auch ein HotSpot Installation wo die
Vouchers dann eben für die gesamte Dauer des
Kurses gültig sind.

Ich denke das Du einfach nur keinen transparenten
HTTP Proxy einsetzen kannst.

Gruß
Dobby