Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Dynamisches VLAN über WLAN mit FreeRadius und AD

Mitglied: strolchiii

strolchiii (Level 1) - Jetzt verbinden

08.04.2009, aktualisiert 18.10.2012, 9787 Aufrufe, 11 Kommentare

Hallo,

als Diplomarbeit sollen wir ein Funknetzwerk an unserer Schule realisieren. Dabei soll es den Benutzern ermöglicht werden, sich mit ihren Anmeldedaten aus dem AD der Schule am WLAN anmelden zu können. Das ganze sollte ursprünglich über den IAS Server gelöst werden. Da dieser aber nur 50 Clients in der Standardversion unterstützt, haben wir nun FreeRadius als Authentifizierungsserver entschieden.

Momentan funktioniert:
Es ist möglich, sich am WLAN mit einem Benutzer aus dem AD zu authentifizieren und so ins WLAN zu kommen. Der FreeRadius Server nimmt die Anfrage vom Client an, sendet sie an das AD weiter und der Client wird korrekt authentifiziert. Die Authentifizierung funktioniert somit einwandfrei.

Nun meine Frage:
Unser AP (Cisco 1242AG) kann ja mehrere SSIDs anlegen. Somit ist es z.B. möglich. folgendes Szenario zu realisieren:

SSID1: Schüler VLAN: 10
SSID2: Lehrer VLAN: 20

Dies haben wir auch schon realisiert und das ganze funktioniert auch so wie es soll. Allerdings habe ich gelesen, dass es auch möglich ist, dass der FreeRadius den Clients (aus der lokalen Client-DB) VLAN-IDs zuteilt wodurch dann z.B. nur eine einzige SSID "Schule" benötigt werden würde. Ist dies auch mit einem AD als Client-DB irgendwie möglich? Ich habe gelesen, dass man das irgendwie über Zertifikate oder der gleichen lösen kann ... ? Was haltet ihr davon?

Vielen Dank!

gruß
felix
Mitglied: DerSchorsch
08.04.2009 um 17:57 Uhr
Hallo,

nur zur Klarstellung:
mit Radius-Client meint der IAS die "Authenticator", also Radiusfähige Switches und AccessPoints und nicht die Benutzer.
Mit einem Standard-IAS kannst du also 50 APs bedienen.

Und mit dem IAS kannst du auch die VLAN-ID zuweisen:
http://technet.microsoft.com/de-de/library/cc783796.aspx

zu FreeRadius kann ich dir leider nicht helfen

Gruß,
Schorsch
Bitte warten ..
Mitglied: aqui
08.04.2009, aktualisiert 18.10.2012
Aber das Forum kann dir weiterhelfen.... !!

Hier steht wie es genau mit dem Freeradius geht. Ist zwar für einen Switch geht aber analog auch bei APs !

https://www.administrator.de/forum/dynamisches-vlan-bei-freeradius-mit-a ...
Bitte warten ..
Mitglied: strolchiii
08.04.2009 um 18:22 Uhr
Hallo,

danke für deine überaus rasche Antwort!

Zum Thema:
Zitat von DerSchorsch:
nur zur Klarstellung:
mit Radius-Client meint der IAS die "Authenticator", also
Radiusfähige Switches und AccessPoints und nicht die Benutzer.
Mit einem Standard-IAS kannst du also 50 APs bedienen.
Ok, da hab ich in dem Fall zu ungenau recherchiert. Trotzdem scheinen uns die 50 APs für unser Vorhaben zu knapp bemessen. Das ganze soll ja skalierbar sein.


Zitat von DerSchorsch:
---
Und mit dem IAS kannst du auch die VLAN-ID zuweisen:
http://technet.microsoft.com/de-de/library/cc783796.aspx

Danke! Sehr tolle Anleitung. Wie es scheint ist es da auch möglich Anfragen an einen anderen Server (in meinem Fall FreeRadius) weiterleiten zu können ... Ob mir das was bringt weiß ich noch nicht.

@aqui

Die von dir beschriebene Anleitung ist leider nur für eine lokale User-DB (sofern ich mich nicht total irre!)

Danke!

gruß
felix
Bitte warten ..
Mitglied: aqui
08.04.2009 um 18:52 Uhr
Nein, denn der Freeradius lässt sich problemlos mit Openldap koppeln und damit an den AD !

http://www.rrze.uni-erlangen.de/dienste/arbeiten-rechnen/linux/howtos/l ...
Bitte warten ..
Mitglied: strolchiii
09.04.2009 um 14:47 Uhr
hallo,

ok. vielleicht bin ich ja wirklich zu blöd ...

Ich habe derzeit einen Freeradius erfolgreich konfiguriert. Dieser greift erfolgreich auf das AD zu.

Nun möchte ich wissen, ob es möglich ist, z.B. Benutzer mit der Gruppe "Schüler" ins VLAN10 zu stecken und Benutzer der Gruppe "Lehrer" ins VLAN20 zu stecken, wenn diese Benutzer im AD stehen. Die Verbindung zum AD hab ich ja bereits. Jetzt geht es mir nur noch um die Zuteilung der Benutzer aus dem AD in die verschiedenen VLANs. Sodass ich auf einfache Art und Weise und ohne aufwändiges von-hand-in-user-db-schreiben z.B. einer ganzen Gruppe sagen kann, dass diese in VLAN XYZ soll.

Ist das irgendwie möglich?

Danke!

gruß
felix
Bitte warten ..
Mitglied: aqui
09.04.2009 um 15:43 Uhr
Ja problemlos, denn dein Freeradius greift ja schon erfolgreich über das LDAP Modul (wie sollte es sonst anders gehen ?) auf den AD zu.

Damit kann er dann einfach alle Benutzer aus dem AD authentisieren und ihnen auch dynmaisch natürlich ein VLAN bzw. eine VLAN ID zuteilen.
Bitte warten ..
Mitglied: strolchiii
09.04.2009 um 18:42 Uhr
Hallo,

das klingt ja schon mal sehr gut. Nur wie mache ich das jetzt? Ich kann mir das ganze noch nicht so ganz vorstellen. Wird bei so einer Authentisierung irgend eine group-id vom AD mitgeschickt, anhand der man dem Freeradius dann sagen kann, dass er diesen Benutzer in VLAN 10 stellen soll?

Und wie/wo muss ich das dann im Freeradius konfigurieren?

Danke für eure Geduld!

gruß
felix
Bitte warten ..
Mitglied: aqui
09.04.2009 um 19:05 Uhr
Eigentlich steht doch hier schon alles unter der Rubrik:
Teilweise müssen die Mappings der Attribute in der Datei /etc/freeradius/ldap.attrmap angepasst werden...

Das sind die Attribute Tunnel-Type, Tunnel-Medium-Type und speziell Tunnel-Private-Group-Id.
Letztere beinhaltet die VLAN ID zum User die an den AP geschickt wird.
Der AP tagged dann alle Pakete die passend zu dem an ihm konfigurierter SSID zu VLAN Beziehung stehen mit der angegebenen VLAN ID.
Das du dann ein tagged Interface auf den AP einrichten musst ist klar, aber das funktioniert ja eh schon bei euch wie du selber schreibst...
Bitte warten ..
Mitglied: strolchiii
09.04.2009 um 23:32 Uhr
hallo,
wenn ich jetzt die Attribute Tunnel-Type, Tunnel-Medium-Type und Tunnel-Private-Group-Id unter /etc/freeradius/ldap.attrmap angepasst habe, sagt dies dem Freeradius-Server, dass er die VLAN Tags hinzufügen soll? Das lass ich mir einreden.

Was mir aber immernoch nicht klar ist: Wo, an welcher Stelle sage ich, welche GRUPPE in welches VLAN gehört. Ich kann doch nicht in der users-Datei 1500 Benutzer einzeln mit VLANs versehen. Gibt es da im AD irgendeine Einstellung oder sowas?

Danke

gruß
felix
Bitte warten ..
Mitglied: VooDoo4711
22.10.2009 um 16:39 Uhr
Hallo zusammen,

genau an DEM Punkt häng ich auch gerade.
Hat da jemand ne Lösung für uns/mich?

Vielen Dank!

Sven.
Bitte warten ..
Mitglied: strolchiii
31.01.2012 um 19:00 Uhr
Die Doku war mal wieder nicht verfügbar:

hier der neue Link:

http://felixthec.at/air09_dokumentation.pdf


gruß
felix
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
FreeRADIUS AD-Gruppen
gelöst Frage von tingelLAN, WAN, Wireless32 Kommentare

Hallo, ich habe FreeRadius nach dieser Anleitung konfiguriert. Soweit klappt alles. Jetzt möchte ich, dass sich nur gewisse AD-Gruppen ...

LAN, WAN, Wireless

Problem mit FreeRADIUS mit Anbindung an AD

gelöst Frage von tingelLAN, WAN, Wireless3 Kommentare

Hallo, ich habe ein Problem mit meiner FreeRADIUS-Konfiguration. Versuche mit NTRadPing und mit "radtest" funktionieren, ebenso ntlm_auth über Konsole. ...

LAN, WAN, Wireless

WLAN mit Zertifikaten über Freeradius

Frage von TheBesthLAN, WAN, Wireless1 Kommentar

Hallo, ich habe mal eine spezielle Frage: Ist es möglich Freeradius so zu konfigurieren, dass ich folgendes erreichen kann: ...

LAN, WAN, Wireless

WLAN mit freeradius möglichst gut sichern

Frage von mrserious73LAN, WAN, Wireless6 Kommentare

Hallo zusammen, habe ein Standard-Problem: Ein WLAN-Netz, das mit freeradius gesichert werden soll. Es kommt nur TTLS - und ...

Neue Wissensbeiträge
Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 15 StundenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 1 TagSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 1 TagMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 1 TagHardware12 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

Heiß diskutierte Inhalte
Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux27 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL18 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless14 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Hyper-V
HyperV DC + DNS + AC
gelöst Frage von HardstylesHyper-V13 Kommentare

Hallo kann mir jemand sagen wieso meine Domänen Computer kein Internetzugang erhalten? Ich hab hier ein Server wo die ...