5
LDAP Freeradius Mschapv2 grvp
erstmal guten Tag. Bin neu hier.
Ich hab schon ab und zu etwas gefunden das mit meinem Problem zu tun hat. Aber so richtig schlau bin ich noch nicht geworden.
Was wil ich :
Ich befinde mich in einem Heterogenen Netzwerk und möchte Windows und Linux rechner mit meinem radiusserver über LDAP authorisieren.
Was habe ich :
Ich habe einen Centos Directory Server in dem Bereits nutzer angelegt sind
Ich habe einen grvp fähigen Switch (HP2510G)
Ich habe einen Radiusserver. MSCHAPv2 geht nur mit manuellen einträgen im Radius Server.
Alles andere geht : SWITCH -> RADIUS <- LDAP
Was fehtl mir noch :
Ich habe jetzt noch das Prob das die Radius authenifizierung bei Windows clients (MSCHAPv2) nicht über LDAP funzt.
Ich mächte im Anschluss über entsprechende LDAP Attribute dem user noch ein vlan zuweisen.
Ich hab für beide Probleme noch keinen richigen Ansatz.
vielleicht kann mir jemand einen Link oder ähnliches geben...
Vielen Dank im Vorraus.
Was wil ich :
Ich befinde mich in einem Heterogenen Netzwerk und möchte Windows und Linux rechner mit meinem radiusserver über LDAP authorisieren.
Was habe ich :
Ich habe einen Centos Directory Server in dem Bereits nutzer angelegt sind
Ich habe einen grvp fähigen Switch (HP2510G)
Ich habe einen Radiusserver. MSCHAPv2 geht nur mit manuellen einträgen im Radius Server.
Alles andere geht : SWITCH -> RADIUS <- LDAP
Was fehtl mir noch :
Ich habe jetzt noch das Prob das die Radius authenifizierung bei Windows clients (MSCHAPv2) nicht über LDAP funzt.
Ich mächte im Anschluss über entsprechende LDAP Attribute dem user noch ein vlan zuweisen.
Ich hab für beide Probleme noch keinen richigen Ansatz.
vielleicht kann mir jemand einen Link oder ähnliches geben...
Vielen Dank im Vorraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 143001
Url: https://administrator.de/contentid/143001
Printed on: April 19, 2024 at 20:04 o'clock
5 Comments
Latest comment
Ein paar Fragen....:
Vermutlich meinst du wirklich letzteres und verwechselst da wohl mit GVRP irgendwas, denn das sind 2 unterschiedliche Baustellen.
Die dynamische Zuweisung von VLANs mit 802.1x und FreeRadius kannst du hier nachlesen:
Fragen zu NAS, Radius und verschiedenen Authentifizierungsmöglichkeiten
- Was soll bitte GRVP sein ?? Oder meinst du GVRP (Generic VLAN Registration Protocol) ?
- Wenn ja, was hat das dann mit deinem Vorhaben zu tun ? (GVRP steuert die VLAN Konfig in einer Switch GVRP Infrastruktur und hat mit Radius/LDAP nicht das geringste zu tun...)
- Wenn nein, meinst du ggf. Port Authentisierung nach 802.1x mit Radius ??
Vermutlich meinst du wirklich letzteres und verwechselst da wohl mit GVRP irgendwas, denn das sind 2 unterschiedliche Baustellen.
Die dynamische Zuweisung von VLANs mit 802.1x und FreeRadius kannst du hier nachlesen:
Fragen zu NAS, Radius und verschiedenen Authentifizierungsmöglichkeiten
OK, ich meinte GVRP. (und ich dachte eigentlich das das mit der dynamischen zuweisung zu tun hat).
Die zuweisung selbst ist nicht das Prob, sondern das ich die Information, in welches VLAN der User kommt im LDAP espeichert wird...
und... mein Prob ist halt das MSCHAPv2 nicht auf folgendem weg funktioniert . supplicant -> switch -> radius -> LDAP -> radius -> switch
Ja und ich meine 802.1x. War gestern schon spät und ich hab mich nicht mehr richtig ausdrücken können. Sorry.
Die zuweisung selbst ist nicht das Prob, sondern das ich die Information, in welches VLAN der User kommt im LDAP espeichert wird...
und... mein Prob ist halt das MSCHAPv2 nicht auf folgendem weg funktioniert . supplicant -> switch -> radius -> LDAP -> radius -> switch
Ja und ich meine 802.1x. War gestern schon spät und ich hab mich nicht mehr richtig ausdrücken können. Sorry.
GVRP hat nichts zu tun mit dynamischer VLAN Zuweisung am Port...da irrst du ganz gewaltig. Also besser nochmal schlau machen und nachlesen was das genau ist:
http://www.worldlingo.com/ma/enwiki/en/GARP_VLAN_Registration_Protocol
GVRP sorgt einzig und allein dafür das die VLAN Info von Switch zu Switch übertragen wird die GVRP sprechen können. Damit erspart man sich das konfigurieren aller VLANs auf allen Switches im Netz einzeln.
Es ist analog zu Ciscos VTP zu sehen aber ein offener Standard, was VTP nicht ist !!
GVRP hat aber einen gravierenden Nachteil:
Die meisten Anbieter die GVRP implementieren supporten das nur in einem Single STP Prozess. D.H. einem einzelnen STP Prozess pro Switch für alle VLANs.
Das ist STP mäßig gesehen aber tiefste Steinzeit die kein Admin mehr macht, denn aus Sicherheitsgründen und Stabilität nutzt man heute PVST oder PVRST (Per VLAN (Rapid) Spanning Tree). D.h. Billigheimer HP kann GVRP auch nur im single Span Verfahren. Mal abgesehen davon das die gar kein PV(R)ST überhaupt können wie der Rest der (Switch)Welt...lediglich MSTP supporten sie. Deshalb sind sie auch so schön billig !
Die Nachteile die man sich damit einhandelt sind gravierend bei Nutzung vieler VLANs.
Das zum Thema GVRP !!
Mit deinem Vorhaben hat das rein gar nichts zu tun ! Das sind 2 Welten die sich zwar ergänzen aber nicht zusamen arbeiten.
Was du willst ist eine simple dynamische Port Authentifizierung mit dynamischer VLAN Zuweisung nach IEEE 802.1x. Ob die VLANs dann statisch auf dem Switch sind oder per GVRP gelernt ist für dein Vorhaben erstmal herzlich egal !!
Liest dir den o.a. Thread durch, da ist alles erklärt wie es geht mit FreeRadius und den VLANs.
Wie du den FreeRadius dann ans LDAP anklemmst ist zuhauf im Internet erklärt....klappt ja eh bei dir schon wenn es stimmt was oben steht...
Wo ist nun also genau dein Problem ??
http://www.worldlingo.com/ma/enwiki/en/GARP_VLAN_Registration_Protocol
GVRP sorgt einzig und allein dafür das die VLAN Info von Switch zu Switch übertragen wird die GVRP sprechen können. Damit erspart man sich das konfigurieren aller VLANs auf allen Switches im Netz einzeln.
Es ist analog zu Ciscos VTP zu sehen aber ein offener Standard, was VTP nicht ist !!
GVRP hat aber einen gravierenden Nachteil:
Die meisten Anbieter die GVRP implementieren supporten das nur in einem Single STP Prozess. D.H. einem einzelnen STP Prozess pro Switch für alle VLANs.
Das ist STP mäßig gesehen aber tiefste Steinzeit die kein Admin mehr macht, denn aus Sicherheitsgründen und Stabilität nutzt man heute PVST oder PVRST (Per VLAN (Rapid) Spanning Tree). D.h. Billigheimer HP kann GVRP auch nur im single Span Verfahren. Mal abgesehen davon das die gar kein PV(R)ST überhaupt können wie der Rest der (Switch)Welt...lediglich MSTP supporten sie. Deshalb sind sie auch so schön billig !
Die Nachteile die man sich damit einhandelt sind gravierend bei Nutzung vieler VLANs.
Das zum Thema GVRP !!
Mit deinem Vorhaben hat das rein gar nichts zu tun ! Das sind 2 Welten die sich zwar ergänzen aber nicht zusamen arbeiten.
Was du willst ist eine simple dynamische Port Authentifizierung mit dynamischer VLAN Zuweisung nach IEEE 802.1x. Ob die VLANs dann statisch auf dem Switch sind oder per GVRP gelernt ist für dein Vorhaben erstmal herzlich egal !!
Liest dir den o.a. Thread durch, da ist alles erklärt wie es geht mit FreeRadius und den VLANs.
Wie du den FreeRadius dann ans LDAP anklemmst ist zuhauf im Internet erklärt....klappt ja eh bei dir schon wenn es stimmt was oben steht...
Wo ist nun also genau dein Problem ??
"Nicht denken sondern nachdenken".... Naja, das kommt bei mir etwas "von oben herab". Wenn ich mit , für euch einfachen Problemen, hier falsch bin muss man mir das sagen.
Nichtsdestotrotz, danke das du dich meinem Problem "annimst"...
Also ob HP so billig ist, ich weiss ja nicht. Aber den Switch den ich habe ist halt auch nur ein managed Layer2. Aber da sind geschmäker ja verschieden.
OK mit dem GVRP lag ich wohl falsch. Hatte das nur gehört und nicht recherchiert.
Dachte eigentlich ich hätte das Prob dargestellt.
Also ich will MSCHAPv2 auf Windows clients für die 802.1x auth. nutzen. Das geht ja auch wenn ich die "user" im radius konfiguriere. Ich will aber Benutzernamen/Passwort über den LDAP authentisieren.
Und ich weiss nicht wo ich anfangen soll wenn ich die die VLAN "Daten" im LDAP speichern will, sodass der Radius sich die dort abholt.
Nichtsdestotrotz, danke das du dich meinem Problem "annimst"...
Also ob HP so billig ist, ich weiss ja nicht. Aber den Switch den ich habe ist halt auch nur ein managed Layer2. Aber da sind geschmäker ja verschieden.
OK mit dem GVRP lag ich wohl falsch. Hatte das nur gehört und nicht recherchiert.
Dachte eigentlich ich hätte das Prob dargestellt.
Also ich will MSCHAPv2 auf Windows clients für die 802.1x auth. nutzen. Das geht ja auch wenn ich die "user" im radius konfiguriere. Ich will aber Benutzernamen/Passwort über den LDAP authentisieren.
Und ich weiss nicht wo ich anfangen soll wenn ich die die VLAN "Daten" im LDAP speichern will, sodass der Radius sich die dort abholt.
OK, zum Switch Vergleich. Nimm einen Cisco Switch und vergleich ihm mit einem HP...was ist nun billig und was ist teuer...wie immer im Leben eine Frage der Perspektive...aber egal das hat mit deinem Problem eh nichts zu tun...
Wie MSchap mit Radius gelöst ist kannst du auch hier nachlesen:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Allerdings nutzt das eine statische Benutzerbasis und kein LDAP. Du musst also erstmal deinen LDAP Server ans Winbloes AD ankoppeln und wasserdicht testen. Wie das gibt erklären dir zahllose Dokumente im Web.
Die Radius Funktion und .1x kannst du auch erstmal mit einem statischen Radius User testen um den Teil zu verifizieren. Wenn alles diese Komponenten für sich rennen strickt man das alles zusammen indem man im FreeRadius den LDAP Support aktiviert !
Eine gute Dokugrundlage findest du hier:
Dynamische VLAN-Zuweisung mit FreeRADIUS und Active Directory
bzw.
http://www.air09.net/air09_dokumentation.pdf
Wie MSchap mit Radius gelöst ist kannst du auch hier nachlesen:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Allerdings nutzt das eine statische Benutzerbasis und kein LDAP. Du musst also erstmal deinen LDAP Server ans Winbloes AD ankoppeln und wasserdicht testen. Wie das gibt erklären dir zahllose Dokumente im Web.
Die Radius Funktion und .1x kannst du auch erstmal mit einem statischen Radius User testen um den Teil zu verifizieren. Wenn alles diese Komponenten für sich rennen strickt man das alles zusammen indem man im FreeRadius den LDAP Support aktiviert !
Eine gute Dokugrundlage findest du hier:
Dynamische VLAN-Zuweisung mit FreeRADIUS und Active Directory
bzw.
http://www.air09.net/air09_dokumentation.pdf
