123788
Mar 01, 2016
3154
4
0
Freeradius (WLAN): User nur zu bestimmter SSID zulassen
Hallo!
Ich betreibe ein WLAN-Netz mit Freeradius (WLAN-Controller, dazu professionelle Switches).
Bisher verwende ich nur eine SSID, es soll nun aber bald zwei Stück geben, die dann in verschiedenen VLANs liegen.
Wichtig ist nun, dass ein Benutzer nur in das für ihn bestimmte WLAN kommt, also nur eine bestimmte der beiden SSIDs nutzen kann.
Wie kann ich FreeRadius das beibringen? Mir ist klar, wie ich generell nur bestimmte Nutzergruppen zum WLAN zulassen kann, aber nicht, wie das mit mehreren SSIDs funktioniert.
Viele Grüße,
mrserious73
Ich betreibe ein WLAN-Netz mit Freeradius (WLAN-Controller, dazu professionelle Switches).
Bisher verwende ich nur eine SSID, es soll nun aber bald zwei Stück geben, die dann in verschiedenen VLANs liegen.
Wichtig ist nun, dass ein Benutzer nur in das für ihn bestimmte WLAN kommt, also nur eine bestimmte der beiden SSIDs nutzen kann.
Wie kann ich FreeRadius das beibringen? Mir ist klar, wie ich generell nur bestimmte Nutzergruppen zum WLAN zulassen kann, aber nicht, wie das mit mehreren SSIDs funktioniert.
Viele Grüße,
mrserious73
Please also mark the comments that contributed to the solution of the article
Content-Key: 297795
Url: https://administrator.de/contentid/297795
Printed on: April 24, 2024 at 15:04 o'clock
4 Comments
Latest comment
Du bestimmst ja im Setup des AP pro SSID das Encryption bzw. Security Verfahren was da in der SSID genutzt wird.
Wenn dieser User nur im WPA-Enterprise WLAN SSID zugelassen ist kann er bei den anderen probieren bis er schwarz ist.Bzw. wenn du nur bei einer SSID WPA Enterprise machst ist er bei den anderen eh raus.
Sinnvollerweise solltest du eine dynamische VLAN Zuweisung machen mit der Radius Authentisierung, damit wird der User dann in die SSID gezwungen die für ihn da ist.
Letzteres können aber nicht alle APs.
Freeradius Management mit WebGUI
Wenn dieser User nur im WPA-Enterprise WLAN SSID zugelassen ist kann er bei den anderen probieren bis er schwarz ist.Bzw. wenn du nur bei einer SSID WPA Enterprise machst ist er bei den anderen eh raus.
Sinnvollerweise solltest du eine dynamische VLAN Zuweisung machen mit der Radius Authentisierung, damit wird der User dann in die SSID gezwungen die für ihn da ist.
Letzteres können aber nicht alle APs.
Freeradius Management mit WebGUI
Zitat von @123788:
Bisher verwende ich nur eine SSID, es soll nun aber bald zwei Stück geben, die dann in verschiedenen VLANs liegen.
Wichtig ist nun, dass ein Benutzer nur in das für ihn bestimmte WLAN kommt, also nur eine bestimmte der beiden SSIDs nutzen kann.
Wie kann ich FreeRadius das beibringen? Mir ist klar, wie ich generell nur bestimmte Nutzergruppen zum WLAN zulassen kann, aber nicht,
wie das mit mehreren SSIDs funktioniert.
Bisher verwende ich nur eine SSID, es soll nun aber bald zwei Stück geben, die dann in verschiedenen VLANs liegen.
Wichtig ist nun, dass ein Benutzer nur in das für ihn bestimmte WLAN kommt, also nur eine bestimmte der beiden SSIDs nutzen kann.
Wie kann ich FreeRadius das beibringen? Mir ist klar, wie ich generell nur bestimmte Nutzergruppen zum WLAN zulassen kann, aber nicht,
wie das mit mehreren SSIDs funktioniert.
Üblicherweise überträgt der Accesspoint (oder der Controller) mit seiner Anfrage an den Radius-Server u.a als Called-Station-Id eine Kombination aus BSSID und (E)SSID (Beispiel: "B0-48-7A-CE-4F-89:WLAN-Test"). Bei manchen Accesspoints bzw. Controller-Lösungen wird nicht die (E)SSID, sondern der Name des Konfigurationsprofils übertragen. So jedenfalls meine Erfahrungen mit den bisher von mir verwendeten Herstellern.
Diesen String müsstest Du auf dem Server in einem Regelwerk auswerten und verarbeiten. Beispiel: Wenn Called-Station-Id den String ":WLAN-Test" enthält und die Zugangsdaten zu einem User passen, der Mitglied der Gruppe "Test-WLAN-Benutzer" ist, dann erlaube den Zugriff.
Ob und wie dies mit Freeradius möglich ist, entzieht sich meiner Kenntnis. Wir nutzen dafür ein kommerzielles Produkt (Meru Connect).
Ein Alternativweg wäre, dass der Radiusserver in Abhängigkeit von der Gruppenmitgliedschaft des Users dem AP/Controller mitteilt, in welches VLAN der User gehört (dynamische VLAN-Zuweisung bei unveränderter (E)SSID). Das können aber nicht alle Accesspoints/Controller.
Gruß
sk