strolchiii
Goto Top

Dynamisches VLAN über WLAN mit FreeRadius und AD

Hallo,

als Diplomarbeit sollen wir ein Funknetzwerk an unserer Schule realisieren. Dabei soll es den Benutzern ermöglicht werden, sich mit ihren Anmeldedaten aus dem AD der Schule am WLAN anmelden zu können. Das ganze sollte ursprünglich über den IAS Server gelöst werden. Da dieser aber nur 50 Clients in der Standardversion unterstützt, haben wir nun FreeRadius als Authentifizierungsserver entschieden.

Momentan funktioniert:
Es ist möglich, sich am WLAN mit einem Benutzer aus dem AD zu authentifizieren und so ins WLAN zu kommen. Der FreeRadius Server nimmt die Anfrage vom Client an, sendet sie an das AD weiter und der Client wird korrekt authentifiziert. Die Authentifizierung funktioniert somit einwandfrei.

Nun meine Frage:
Unser AP (Cisco 1242AG) kann ja mehrere SSIDs anlegen. Somit ist es z.B. möglich. folgendes Szenario zu realisieren:

SSID1: Schüler VLAN: 10
SSID2: Lehrer VLAN: 20

Dies haben wir auch schon realisiert und das ganze funktioniert auch so wie es soll. Allerdings habe ich gelesen, dass es auch möglich ist, dass der FreeRadius den Clients (aus der lokalen Client-DB) VLAN-IDs zuteilt wodurch dann z.B. nur eine einzige SSID "Schule" benötigt werden würde. Ist dies auch mit einem AD als Client-DB irgendwie möglich? Ich habe gelesen, dass man das irgendwie über Zertifikate oder der gleichen lösen kann ... ? Was haltet ihr davon?

Vielen Dank!

gruß
felix

Content-Key: 113535

Url: https://administrator.de/contentid/113535

Ausgedruckt am: 28.03.2024 um 20:03 Uhr

Mitglied: DerSchorsch
DerSchorsch 08.04.2009 um 17:57:47 Uhr
Goto Top
Hallo,

nur zur Klarstellung:
mit Radius-Client meint der IAS die "Authenticator", also Radiusfähige Switches und AccessPoints und nicht die Benutzer.
Mit einem Standard-IAS kannst du also 50 APs bedienen.

Und mit dem IAS kannst du auch die VLAN-ID zuweisen:
http://technet.microsoft.com/de-de/library/cc783796.aspx

zu FreeRadius kann ich dir leider nicht helfen

Gruß,
Schorsch
Mitglied: aqui
aqui 08.04.2009, aktualisiert am 15.05.2023 um 16:36:54 Uhr
Goto Top
Aber das Forum kann dir weiterhelfen.... !!
Freeradius Management mit WebGUI

Hier steht wie es genau mit dem Freeradius geht. Ist zwar für einen Switch geht aber analog auch bei APs !

Dynamisches Vlan bei Freeradius mit Alcatel switch
Mitglied: strolchiii
strolchiii 08.04.2009 um 18:22:51 Uhr
Goto Top
Hallo,

danke für deine überaus rasche Antwort!

Zum Thema:
Zitat von @DerSchorsch:
nur zur Klarstellung:
mit Radius-Client meint der IAS die "Authenticator", also
Radiusfähige Switches und AccessPoints und nicht die Benutzer.
Mit einem Standard-IAS kannst du also 50 APs bedienen.
Ok, da hab ich in dem Fall zu ungenau recherchiert. Trotzdem scheinen uns die 50 APs für unser Vorhaben zu knapp bemessen. Das ganze soll ja skalierbar sein.


Zitat von @DerSchorsch:
---
Und mit dem IAS kannst du auch die VLAN-ID zuweisen:
http://technet.microsoft.com/de-de/library/cc783796.aspx

Danke! Sehr tolle Anleitung. Wie es scheint ist es da auch möglich Anfragen an einen anderen Server (in meinem Fall FreeRadius) weiterleiten zu können ... Ob mir das was bringt weiß ich noch nicht.

@aqui

Die von dir beschriebene Anleitung ist leider nur für eine lokale User-DB (sofern ich mich nicht total irre!)

Danke!

gruß
felix
Mitglied: aqui
aqui 08.04.2009 um 18:52:52 Uhr
Goto Top
Nein, denn der Freeradius lässt sich problemlos mit Openldap koppeln und damit an den AD !

http://www.rrze.uni-erlangen.de/dienste/arbeiten-rechnen/linux/howtos/l ...
Mitglied: strolchiii
strolchiii 09.04.2009 um 14:47:11 Uhr
Goto Top
hallo,

ok. vielleicht bin ich ja wirklich zu blöd ...

Ich habe derzeit einen Freeradius erfolgreich konfiguriert. Dieser greift erfolgreich auf das AD zu.

Nun möchte ich wissen, ob es möglich ist, z.B. Benutzer mit der Gruppe "Schüler" ins VLAN10 zu stecken und Benutzer der Gruppe "Lehrer" ins VLAN20 zu stecken, wenn diese Benutzer im AD stehen. Die Verbindung zum AD hab ich ja bereits. Jetzt geht es mir nur noch um die Zuteilung der Benutzer aus dem AD in die verschiedenen VLANs. Sodass ich auf einfache Art und Weise und ohne aufwändiges von-hand-in-user-db-schreiben z.B. einer ganzen Gruppe sagen kann, dass diese in VLAN XYZ soll.

Ist das irgendwie möglich?

Danke!

gruß
felix
Mitglied: aqui
aqui 09.04.2009 um 15:43:53 Uhr
Goto Top
Ja problemlos, denn dein Freeradius greift ja schon erfolgreich über das LDAP Modul (wie sollte es sonst anders gehen ?) auf den AD zu.

Damit kann er dann einfach alle Benutzer aus dem AD authentisieren und ihnen auch dynmaisch natürlich ein VLAN bzw. eine VLAN ID zuteilen.
Mitglied: strolchiii
strolchiii 09.04.2009 um 18:42:12 Uhr
Goto Top
Hallo,

das klingt ja schon mal sehr gut. Nur wie mache ich das jetzt? Ich kann mir das ganze noch nicht so ganz vorstellen. Wird bei so einer Authentisierung irgend eine group-id vom AD mitgeschickt, anhand der man dem Freeradius dann sagen kann, dass er diesen Benutzer in VLAN 10 stellen soll?

Und wie/wo muss ich das dann im Freeradius konfigurieren?

Danke für eure Geduld!

gruß
felix
Mitglied: aqui
aqui 09.04.2009 um 19:05:20 Uhr
Goto Top
Eigentlich steht doch hier schon alles unter der Rubrik:
Teilweise müssen die Mappings der Attribute in der Datei /etc/freeradius/ldap.attrmap angepasst werden...

Das sind die Attribute Tunnel-Type, Tunnel-Medium-Type und speziell Tunnel-Private-Group-Id.
Letztere beinhaltet die VLAN ID zum User die an den AP geschickt wird.
Der AP tagged dann alle Pakete die passend zu dem an ihm konfigurierter SSID zu VLAN Beziehung stehen mit der angegebenen VLAN ID.
Das du dann ein tagged Interface auf den AP einrichten musst ist klar, aber das funktioniert ja eh schon bei euch wie du selber schreibst...
Mitglied: strolchiii
strolchiii 09.04.2009 um 23:32:23 Uhr
Goto Top
hallo,
wenn ich jetzt die Attribute Tunnel-Type, Tunnel-Medium-Type und Tunnel-Private-Group-Id unter /etc/freeradius/ldap.attrmap angepasst habe, sagt dies dem Freeradius-Server, dass er die VLAN Tags hinzufügen soll? Das lass ich mir einreden.

Was mir aber immernoch nicht klar ist: Wo, an welcher Stelle sage ich, welche GRUPPE in welches VLAN gehört. Ich kann doch nicht in der users-Datei 1500 Benutzer einzeln mit VLANs versehen. Gibt es da im AD irgendeine Einstellung oder sowas?

Danke

gruß
felix
Mitglied: VooDoo4711
VooDoo4711 22.10.2009 um 16:39:56 Uhr
Goto Top
Hallo zusammen,

genau an DEM Punkt häng ich auch gerade.
Hat da jemand ne Lösung für uns/mich?

Vielen Dank!

Sven.
Mitglied: strolchiii
strolchiii 31.01.2012 um 19:00:59 Uhr
Goto Top
Die Doku war mal wieder nicht verfügbar:

hier der neue Link:

http://felixthec.at/air09_dokumentation.pdf


gruß
felix