Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke LAN, WAN, Wireless

Dynamisches VLAN über WLAN mit FreeRadius und AD

Mitglied: strolchiii

strolchiii (Level 1) - Jetzt verbinden

08.04.2009, aktualisiert 18.10.2012, 9701 Aufrufe, 11 Kommentare

Hallo,

als Diplomarbeit sollen wir ein Funknetzwerk an unserer Schule realisieren. Dabei soll es den Benutzern ermöglicht werden, sich mit ihren Anmeldedaten aus dem AD der Schule am WLAN anmelden zu können. Das ganze sollte ursprünglich über den IAS Server gelöst werden. Da dieser aber nur 50 Clients in der Standardversion unterstützt, haben wir nun FreeRadius als Authentifizierungsserver entschieden.

Momentan funktioniert:
Es ist möglich, sich am WLAN mit einem Benutzer aus dem AD zu authentifizieren und so ins WLAN zu kommen. Der FreeRadius Server nimmt die Anfrage vom Client an, sendet sie an das AD weiter und der Client wird korrekt authentifiziert. Die Authentifizierung funktioniert somit einwandfrei.

Nun meine Frage:
Unser AP (Cisco 1242AG) kann ja mehrere SSIDs anlegen. Somit ist es z.B. möglich. folgendes Szenario zu realisieren:

SSID1: Schüler VLAN: 10
SSID2: Lehrer VLAN: 20

Dies haben wir auch schon realisiert und das ganze funktioniert auch so wie es soll. Allerdings habe ich gelesen, dass es auch möglich ist, dass der FreeRadius den Clients (aus der lokalen Client-DB) VLAN-IDs zuteilt wodurch dann z.B. nur eine einzige SSID "Schule" benötigt werden würde. Ist dies auch mit einem AD als Client-DB irgendwie möglich? Ich habe gelesen, dass man das irgendwie über Zertifikate oder der gleichen lösen kann ... ? Was haltet ihr davon?

Vielen Dank!

gruß
felix
Mitglied: DerSchorsch
08.04.2009 um 17:57 Uhr
Hallo,

nur zur Klarstellung:
mit Radius-Client meint der IAS die "Authenticator", also Radiusfähige Switches und AccessPoints und nicht die Benutzer.
Mit einem Standard-IAS kannst du also 50 APs bedienen.

Und mit dem IAS kannst du auch die VLAN-ID zuweisen:
http://technet.microsoft.com/de-de/library/cc783796.aspx

zu FreeRadius kann ich dir leider nicht helfen

Gruß,
Schorsch
Bitte warten ..
Mitglied: aqui
08.04.2009, aktualisiert 18.10.2012
Aber das Forum kann dir weiterhelfen.... !!

Hier steht wie es genau mit dem Freeradius geht. Ist zwar für einen Switch geht aber analog auch bei APs !

http://www.administrator.de/forum/dynamisches-vlan-bei-freeradius-mit-a ...
Bitte warten ..
Mitglied: strolchiii
08.04.2009 um 18:22 Uhr
Hallo,

danke für deine überaus rasche Antwort!

Zum Thema:
Zitat von DerSchorsch:
nur zur Klarstellung:
mit Radius-Client meint der IAS die "Authenticator", also
Radiusfähige Switches und AccessPoints und nicht die Benutzer.
Mit einem Standard-IAS kannst du also 50 APs bedienen.
Ok, da hab ich in dem Fall zu ungenau recherchiert. Trotzdem scheinen uns die 50 APs für unser Vorhaben zu knapp bemessen. Das ganze soll ja skalierbar sein.


Zitat von DerSchorsch:
---
Und mit dem IAS kannst du auch die VLAN-ID zuweisen:
http://technet.microsoft.com/de-de/library/cc783796.aspx

Danke! Sehr tolle Anleitung. Wie es scheint ist es da auch möglich Anfragen an einen anderen Server (in meinem Fall FreeRadius) weiterleiten zu können ... Ob mir das was bringt weiß ich noch nicht.

@aqui

Die von dir beschriebene Anleitung ist leider nur für eine lokale User-DB (sofern ich mich nicht total irre!)

Danke!

gruß
felix
Bitte warten ..
Mitglied: aqui
08.04.2009 um 18:52 Uhr
Nein, denn der Freeradius lässt sich problemlos mit Openldap koppeln und damit an den AD !

http://www.rrze.uni-erlangen.de/dienste/arbeiten-rechnen/linux/howtos/l ...
Bitte warten ..
Mitglied: strolchiii
09.04.2009 um 14:47 Uhr
hallo,

ok. vielleicht bin ich ja wirklich zu blöd ...

Ich habe derzeit einen Freeradius erfolgreich konfiguriert. Dieser greift erfolgreich auf das AD zu.

Nun möchte ich wissen, ob es möglich ist, z.B. Benutzer mit der Gruppe "Schüler" ins VLAN10 zu stecken und Benutzer der Gruppe "Lehrer" ins VLAN20 zu stecken, wenn diese Benutzer im AD stehen. Die Verbindung zum AD hab ich ja bereits. Jetzt geht es mir nur noch um die Zuteilung der Benutzer aus dem AD in die verschiedenen VLANs. Sodass ich auf einfache Art und Weise und ohne aufwändiges von-hand-in-user-db-schreiben z.B. einer ganzen Gruppe sagen kann, dass diese in VLAN XYZ soll.

Ist das irgendwie möglich?

Danke!

gruß
felix
Bitte warten ..
Mitglied: aqui
09.04.2009 um 15:43 Uhr
Ja problemlos, denn dein Freeradius greift ja schon erfolgreich über das LDAP Modul (wie sollte es sonst anders gehen ?) auf den AD zu.

Damit kann er dann einfach alle Benutzer aus dem AD authentisieren und ihnen auch dynmaisch natürlich ein VLAN bzw. eine VLAN ID zuteilen.
Bitte warten ..
Mitglied: strolchiii
09.04.2009 um 18:42 Uhr
Hallo,

das klingt ja schon mal sehr gut. Nur wie mache ich das jetzt? Ich kann mir das ganze noch nicht so ganz vorstellen. Wird bei so einer Authentisierung irgend eine group-id vom AD mitgeschickt, anhand der man dem Freeradius dann sagen kann, dass er diesen Benutzer in VLAN 10 stellen soll?

Und wie/wo muss ich das dann im Freeradius konfigurieren?

Danke für eure Geduld!

gruß
felix
Bitte warten ..
Mitglied: aqui
09.04.2009 um 19:05 Uhr
Eigentlich steht doch hier schon alles unter der Rubrik:
Teilweise müssen die Mappings der Attribute in der Datei /etc/freeradius/ldap.attrmap angepasst werden...

Das sind die Attribute Tunnel-Type, Tunnel-Medium-Type und speziell Tunnel-Private-Group-Id.
Letztere beinhaltet die VLAN ID zum User die an den AP geschickt wird.
Der AP tagged dann alle Pakete die passend zu dem an ihm konfigurierter SSID zu VLAN Beziehung stehen mit der angegebenen VLAN ID.
Das du dann ein tagged Interface auf den AP einrichten musst ist klar, aber das funktioniert ja eh schon bei euch wie du selber schreibst...
Bitte warten ..
Mitglied: strolchiii
09.04.2009 um 23:32 Uhr
hallo,
wenn ich jetzt die Attribute Tunnel-Type, Tunnel-Medium-Type und Tunnel-Private-Group-Id unter /etc/freeradius/ldap.attrmap angepasst habe, sagt dies dem Freeradius-Server, dass er die VLAN Tags hinzufügen soll? Das lass ich mir einreden.

Was mir aber immernoch nicht klar ist: Wo, an welcher Stelle sage ich, welche GRUPPE in welches VLAN gehört. Ich kann doch nicht in der users-Datei 1500 Benutzer einzeln mit VLANs versehen. Gibt es da im AD irgendeine Einstellung oder sowas?

Danke

gruß
felix
Bitte warten ..
Mitglied: VooDoo4711
22.10.2009 um 16:39 Uhr
Hallo zusammen,

genau an DEM Punkt häng ich auch gerade.
Hat da jemand ne Lösung für uns/mich?

Vielen Dank!

Sven.
Bitte warten ..
Mitglied: strolchiii
31.01.2012 um 19:00 Uhr
Die Doku war mal wieder nicht verfügbar:

hier der neue Link:

http://felixthec.at/air09_dokumentation.pdf


gruß
felix
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
FreeRADIUS AD-Gruppen
gelöst Frage von tingelLAN, WAN, Wireless32 Kommentare

Hallo, ich habe FreeRadius nach dieser Anleitung konfiguriert. Soweit klappt alles. Jetzt möchte ich, dass sich nur gewisse AD-Gruppen ...

LAN, WAN, Wireless
Problem mit FreeRADIUS mit Anbindung an AD
gelöst Frage von tingelLAN, WAN, Wireless3 Kommentare

Hallo, ich habe ein Problem mit meiner FreeRADIUS-Konfiguration. Versuche mit NTRadPing und mit "radtest" funktionieren, ebenso ntlm_auth über Konsole. ...

LAN, WAN, Wireless
WLAN mit Zertifikaten über Freeradius
Frage von TheBesthLAN, WAN, Wireless1 Kommentar

Hallo, ich habe mal eine spezielle Frage: Ist es möglich Freeradius so zu konfigurieren, dass ich folgendes erreichen kann: ...

LAN, WAN, Wireless
WLAN mit freeradius möglichst gut sichern
Frage von mrserious73LAN, WAN, Wireless6 Kommentare

Hallo zusammen, habe ein Standard-Problem: Ein WLAN-Netz, das mit freeradius gesichert werden soll. Es kommt nur TTLS - und ...

Neue Wissensbeiträge
Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 2 StundenMicrosoft

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit13 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Heiß diskutierte Inhalte
Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall10 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS9 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen9 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk8 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...