Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst FreeRADIUS Active Directory PEAP-MSCHAPv2 mit LDAP Gruppenfilter

Mitglied: paddix

paddix (Level 1) - Jetzt verbinden

19.09.2011, aktualisiert 18.10.2012, 7161 Aufrufe, 14 Kommentare, 2 Danke

Hallo,

ich habe FreeRADIUS erfolgreich für die Authentifizierung mit Active Directory über ntlm_auth eingerichtet.

Nun möchte ich, dass nur eine bestimmte Gruppe aus dem AD Zugriff auf das WLAN hat.

Das sollte ja mittels LDAP-Modul möglich sein.

Leider weiss ich nicht wie ich das umsetzen kann und auch Google war mir bisher leider keine Hilfe.

Kann mir da jemand von Euch einen Tip geben?

Gruß paddix
Mitglied: paddix
19.09.2011 um 13:09 Uhr
Hi aqui,

ja, Deinen Beitrag habe ich gelesen. Es läuft ja auch schon alles supi, nur will ich den Zugriff auf eine Gruppe aus dem Active Directory beschränken.


Ich bin im Moment vom LDAP-Modul weg und teste mit ntlm_auth. Hier insbesondere den Parameter --require-membership-of=DOMÄNE/WLAN-ZUGRIFF ...

Kann das Funktionieren?

Über den ntlm_auth Befehl direkt, klappt das auch. Winbind listet auch alle Gruppen aus dem AD korrekt auf.

ntlm_auth --request-nt-key --username=NICHT_WLAN_NUTZER --require-membership-of=DOMÄN EWLAN-Zugriff
password:
NT_STATUS_LOGON_FAILURE: Logon failure (0xc000006d)

ntlm_auth --request-nt-key --username=WLAN_NUTZER --require-membership-of=DOMÄNE
WLAN-Zugriff
password:
NT_STATUS_OK: Success (0x0)

Nur über Radius kann der NICHT_WLAN_NUTZER, sich trotzdem authentifizieren...


Auszug aus den ntlm_auth:

exec ntlm_auth {
wait = yes
program = "/usr/bin/ntlm_auth --request-nt-key --domain=DOMÄNE --require-membership-of='DOMÄNE/WLAN-Zugriff' --username=%{mschap:User-Name} --password=%{U$rd=%{User-Password}"
}


Fällt dir dazu was ein?
Bitte warten ..
Mitglied: dog
19.09.2011 um 14:01 Uhr
Mal eine ganz dumme Frage:

Warum benutzt du FreeRADIUS, wenn AD einen RADIUS-Server onboard hat der das alles mit 5 Klicks kann???
Bitte warten ..
Mitglied: paddix
19.09.2011 um 14:58 Uhr
Es handelt sich dabei um eine Projektarbeit. FreeRADIUS hat keine Einschränkungen im Vergleich zum Windows-RADIUS (50 clients), ist auf dem neusten Stand, er läuft hier läuft unter VMware ESXi nebst vielen anderen Linux-Systemen und benötigt kaum Recourcen.


@topic

Problem gelöst, geht alles supi! Die Lösung lag in der Anpassung der mschap Datei!

CLOSED.
Bitte warten ..
Mitglied: Ch3p4cK
12.11.2015 um 16:19 Uhr
Hallo Paddix,

wärst du bitte so nett und sagst uns noch, was genau geändert werden muss?


Gruß
Ch3p
Bitte warten ..
Mitglied: aqui
16.11.2015 um 17:23 Uhr
Die Änderung in der CHAP Konfig Datei wäre wirklich mal spannend, denn das erzeugt hier immer und immer wieder Verwirrung !
Wäre also wirklich klasse wenn du das hier nochmal posten könntest !!
Bitte warten ..
Mitglied: Ch3p4cK
16.11.2015 um 19:04 Uhr
Habe es durch probieren herausgefunden. Werde es morgen auf der Arbeit posten wenn ich nochmal Zugriff auf den Server habe.

Gruß
Ch3p
Bitte warten ..
Mitglied: Ch3p4cK
17.11.2015 um 09:19 Uhr
Da der Thread ja schon etwas älter ist mal Vorweg: ich habe die Installation unter der aktuellsten LTS von Ubuntu (14.04) gemacht. Ich bin nach dieser Anleitung hier im Forum vorgegangen.

Um die Gruppenzugehörigkeit zu prüfen habe ich dann der Datei /etc/freeradius/modules/ntlm_auth bearbeitet folgende Abfrage hinzugefügt:
01.
--require-membership-of=DOMÄNE\\Gruppenname


DOMÄNE und Gruppenname sind naturlich durch die Eigene Domain und Gruppe zu ersetzen. Wichtig ist hier das doppelte Backslash. Ohne das hat es nicht funktioniert.


Gruß
Ch3p
Bitte warten ..
Mitglied: aqui
17.11.2015 um 09:37 Uhr
Das ist dann aber keine Änderung in der CHAP Konfig Datei, richtig ?!
Aber egal... Danke für das Feedback auf alle Fälle !
Bitte warten ..
Mitglied: Ch3p4cK
17.11.2015 um 10:43 Uhr
Richtig. Es wird die ntml_auth Konfig angepasst. Die Änderung hat in der mschap Konfig nicht gegriffen. Bzw. hatte es zur Folge, dass für jeden User ein Reject kam. Jedenfalls funktioniert es für mein Vorhaben Wireless Clients zu Authentifizieren.
Bitte warten ..
Mitglied: aqui
17.11.2015 um 13:06 Uhr
Es wird die ntml_auth Konfig angepasst
Was ist denn da geändert worden ?
Oder entspricht das dem was oben bzw. in der verwendeten Anleitung steht ??
Bitte warten ..
Mitglied: Ch3p4cK
17.11.2015 um 16:36 Uhr
Es entspricht der verwendet Anleitung, die ich im letzten Post verlinkt habe (Punkt 3.6.). Lediglich wird der Datei ntml_auth der von mir genannte Zusatz im Befehl angefügt.

Die Configfiles von freeradius scheinen sich verändert zu haben. Man findet überall im Internet andere Pfadangeben zu den Files. Deswegen war mein Hinweis, dass ich die Anleitung anhand LTS 14.04 verwendet habe.
Bitte warten ..
Mitglied: aqui
18.11.2015 um 08:30 Uhr
Man findet überall im Internet andere Pfadangeben zu den Files
Das hat aber nichts mit Freeradius als solchem zu tun sondern ist lediglich von der verwendeten Linux Distribution abhängig.
Unterschiedliche Distributionen nutzen unterschiedliche Pfade wo sie die Konfig Dateien vorhalten. Das ist aber ein simples und eher kosmetische Problem mit dem jeder normale Unixer natürlich klarkommt....
Bitte warten ..
Mitglied: Ch3p4cK
22.11.2015 um 17:20 Uhr
Stimme ich dir zu. Aber bei Debian basierenden Systemen mit der Installation via apt-get, sind die Pfade eigentlich gleich. Ich meinte damit eigentlich, dass dich die Configs an sich geändert haben bzw freeradius eine andere bzw. neue Struktur unter /etc/freeradius hat. In anderen Anleitungen habe ich nämlich nichts von einem Modules-Ordner gesehen.
Bitte warten ..
Ähnliche Inhalte
Windows Server

Delegation LDAP für Active Directory

Frage von CoreknabeWindows Server3 Kommentare

Moin, ich möchte im AD (Server 2008) einen Benutzer erstellen, der LDAP-Abfragen machen kann (und am besten sonst nix). ...

Sicherheitsgrundlagen

802.1X . NPS Server . PEAP mit MSCHAPv2 . Wo braucht man welche Zertifikate

gelöst Frage von Desby2Sicherheitsgrundlagen7 Kommentare

Hallo liebe Community, ich habe mal eine Frage allgemein zu 802.1X beim NPS Server. Folgendes ist meine Ausgangssituation: - ...

Linux Userverwaltung

Frage zu SingleSigneOn, Webseite, LDAP und Active-Directory

gelöst Frage von QQR700Linux Userverwaltung2 Kommentare

Hallo, eine (zur Zeit noch) recht abstrakte Frage: Wenn ich eine Webseite/Webapplikation (auf einem LAMP) habe, die eine Nutzer-Authentifizierung ...

Windows Server

Suche Buch LDAP ADSI Active Directory

Frage von ChrisDynamiteWindows Server1 Kommentar

Guten Tag, kennt jemand ein gutes Buch, welches bei Microsoft Domänendiensten etwas tiefer in die Matherie eingeht wie das ...

Neue Wissensbeiträge
Sonstige Systeme
Es war einmal ein BeOS - Wer erinnert sich noch?
Information von BassFishFox vor 1 TagSonstige Systeme5 Kommentare

Hallo, Bin gerade ueber Haiku gestolpert, von dessen Existenz als "Nachfolger des BeOS" ich wusste nur mich nie wirklich ...

Datenschutz

Microsoft und DSGVO - ob das wohl jemals klappt (Probleme beim Datenabfluss für Office Pro Plus)?

Tipp von VGem-e vor 1 TagDatenschutz3 Kommentare

Servus Kollegen, siehe Aber wer setzt schon MS Office Pro Plus ein? Wie dann der Stand beim "normalen" MS ...

Windows 10

Macht Windows 10.1809 Probleme mit gemappten Netzlaufwerken (betrifft wohl insbes. AMD-Hardware und Trend Micro AV-Produkte)?

Tipp von VGem-e vor 2 TagenWindows 103 Kommentare

Moin Kollegen, grad dazu gefunden und Hatten wir dies nicht bei früheren W10-Upgrades ebenfalls? Da bleibt nur, das Upgrade ...

Humor (lol)

Das neue Miniatur Wunderland OFFICIAL VIDEO - worlds largest model railway - railroad

Information von StefanKittel vor 2 TagenHumor (lol)2 Kommentare

Hallo, wer noch nie im Miniatur Wunderland war, sollte es dringend mal nachholen. Es gibt eine neues Video. Viele ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Gäste-WLAN durch DD-WRT AP nach einem MikroTik Routerboard
Frage von NukolarLAN, WAN, Wireless16 Kommentare

Hallo, wie der Titel schon sagt möchte ich gerne ein Gäste-WLAN innerhalb eines bestehenden LANs einrichten. Dass die Gäste ...

DSL, VDSL
DSL Monitoring Tool - Quick and dirty?
Frage von george44DSL, VDSL15 Kommentare

Liebe Gemeinde, ich suche ein einfaches und vor allem schnell zu installierendes Monitoring-Tool zur kontinuierlichen Dokumentation (nur) der Internetanbindung. ...

Exchange Server
Outlook findet Postfach nicht
Frage von MaximaxExchange Server13 Kommentare

Hallo, und zwar haben wir auf der Arbeit ein kleines (großes) Exchange 2016 Problem. Exchange meldete gestern, dass die ...

Microsoft
Schulungs-Microsoft-Konten zentral verwalten
Frage von thejarneMicrosoft9 Kommentare

Hallo zusammen, wir haben bei uns in der Firma 12 Computer-Arbeitsplätze für EDV-Schulungen, wo u.A. auch Computer-Basics-Kurse (wie verwende ...