Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Dynamisches VLAN über WLAN mit FreeRadius und AD

Frage Netzwerke LAN, WAN, Wireless

Mitglied: strolchiii

strolchiii (Level 1) - Jetzt verbinden

08.04.2009, aktualisiert 18.10.2012, 9296 Aufrufe, 11 Kommentare

Hallo,

als Diplomarbeit sollen wir ein Funknetzwerk an unserer Schule realisieren. Dabei soll es den Benutzern ermöglicht werden, sich mit ihren Anmeldedaten aus dem AD der Schule am WLAN anmelden zu können. Das ganze sollte ursprünglich über den IAS Server gelöst werden. Da dieser aber nur 50 Clients in der Standardversion unterstützt, haben wir nun FreeRadius als Authentifizierungsserver entschieden.

Momentan funktioniert:
Es ist möglich, sich am WLAN mit einem Benutzer aus dem AD zu authentifizieren und so ins WLAN zu kommen. Der FreeRadius Server nimmt die Anfrage vom Client an, sendet sie an das AD weiter und der Client wird korrekt authentifiziert. Die Authentifizierung funktioniert somit einwandfrei.

Nun meine Frage:
Unser AP (Cisco 1242AG) kann ja mehrere SSIDs anlegen. Somit ist es z.B. möglich. folgendes Szenario zu realisieren:

SSID1: Schüler VLAN: 10
SSID2: Lehrer VLAN: 20

Dies haben wir auch schon realisiert und das ganze funktioniert auch so wie es soll. Allerdings habe ich gelesen, dass es auch möglich ist, dass der FreeRadius den Clients (aus der lokalen Client-DB) VLAN-IDs zuteilt wodurch dann z.B. nur eine einzige SSID "Schule" benötigt werden würde. Ist dies auch mit einem AD als Client-DB irgendwie möglich? Ich habe gelesen, dass man das irgendwie über Zertifikate oder der gleichen lösen kann ... ? Was haltet ihr davon?

Vielen Dank!

gruß
felix
Mitglied: DerSchorsch
08.04.2009 um 17:57 Uhr
Hallo,

nur zur Klarstellung:
mit Radius-Client meint der IAS die "Authenticator", also Radiusfähige Switches und AccessPoints und nicht die Benutzer.
Mit einem Standard-IAS kannst du also 50 APs bedienen.

Und mit dem IAS kannst du auch die VLAN-ID zuweisen:
http://technet.microsoft.com/de-de/library/cc783796.aspx

zu FreeRadius kann ich dir leider nicht helfen

Gruß,
Schorsch
Bitte warten ..
Mitglied: aqui
08.04.2009, aktualisiert 18.10.2012
Aber das Forum kann dir weiterhelfen.... !!

Hier steht wie es genau mit dem Freeradius geht. Ist zwar für einen Switch geht aber analog auch bei APs !

http://www.administrator.de/forum/dynamisches-vlan-bei-freeradius-mit-a ...
Bitte warten ..
Mitglied: strolchiii
08.04.2009 um 18:22 Uhr
Hallo,

danke für deine überaus rasche Antwort!

Zum Thema:
Zitat von DerSchorsch:
nur zur Klarstellung:
mit Radius-Client meint der IAS die "Authenticator", also
Radiusfähige Switches und AccessPoints und nicht die Benutzer.
Mit einem Standard-IAS kannst du also 50 APs bedienen.
Ok, da hab ich in dem Fall zu ungenau recherchiert. Trotzdem scheinen uns die 50 APs für unser Vorhaben zu knapp bemessen. Das ganze soll ja skalierbar sein.


Zitat von DerSchorsch:
---
Und mit dem IAS kannst du auch die VLAN-ID zuweisen:
http://technet.microsoft.com/de-de/library/cc783796.aspx

Danke! Sehr tolle Anleitung. Wie es scheint ist es da auch möglich Anfragen an einen anderen Server (in meinem Fall FreeRadius) weiterleiten zu können ... Ob mir das was bringt weiß ich noch nicht.

@aqui

Die von dir beschriebene Anleitung ist leider nur für eine lokale User-DB (sofern ich mich nicht total irre!)

Danke!

gruß
felix
Bitte warten ..
Mitglied: aqui
08.04.2009 um 18:52 Uhr
Nein, denn der Freeradius lässt sich problemlos mit Openldap koppeln und damit an den AD !

http://www.rrze.uni-erlangen.de/dienste/arbeiten-rechnen/linux/howtos/l ...
Bitte warten ..
Mitglied: strolchiii
09.04.2009 um 14:47 Uhr
hallo,

ok. vielleicht bin ich ja wirklich zu blöd ...

Ich habe derzeit einen Freeradius erfolgreich konfiguriert. Dieser greift erfolgreich auf das AD zu.

Nun möchte ich wissen, ob es möglich ist, z.B. Benutzer mit der Gruppe "Schüler" ins VLAN10 zu stecken und Benutzer der Gruppe "Lehrer" ins VLAN20 zu stecken, wenn diese Benutzer im AD stehen. Die Verbindung zum AD hab ich ja bereits. Jetzt geht es mir nur noch um die Zuteilung der Benutzer aus dem AD in die verschiedenen VLANs. Sodass ich auf einfache Art und Weise und ohne aufwändiges von-hand-in-user-db-schreiben z.B. einer ganzen Gruppe sagen kann, dass diese in VLAN XYZ soll.

Ist das irgendwie möglich?

Danke!

gruß
felix
Bitte warten ..
Mitglied: aqui
09.04.2009 um 15:43 Uhr
Ja problemlos, denn dein Freeradius greift ja schon erfolgreich über das LDAP Modul (wie sollte es sonst anders gehen ?) auf den AD zu.

Damit kann er dann einfach alle Benutzer aus dem AD authentisieren und ihnen auch dynmaisch natürlich ein VLAN bzw. eine VLAN ID zuteilen.
Bitte warten ..
Mitglied: strolchiii
09.04.2009 um 18:42 Uhr
Hallo,

das klingt ja schon mal sehr gut. Nur wie mache ich das jetzt? Ich kann mir das ganze noch nicht so ganz vorstellen. Wird bei so einer Authentisierung irgend eine group-id vom AD mitgeschickt, anhand der man dem Freeradius dann sagen kann, dass er diesen Benutzer in VLAN 10 stellen soll?

Und wie/wo muss ich das dann im Freeradius konfigurieren?

Danke für eure Geduld!

gruß
felix
Bitte warten ..
Mitglied: aqui
09.04.2009 um 19:05 Uhr
Eigentlich steht doch hier schon alles unter der Rubrik:
Teilweise müssen die Mappings der Attribute in der Datei /etc/freeradius/ldap.attrmap angepasst werden...

Das sind die Attribute Tunnel-Type, Tunnel-Medium-Type und speziell Tunnel-Private-Group-Id.
Letztere beinhaltet die VLAN ID zum User die an den AP geschickt wird.
Der AP tagged dann alle Pakete die passend zu dem an ihm konfigurierter SSID zu VLAN Beziehung stehen mit der angegebenen VLAN ID.
Das du dann ein tagged Interface auf den AP einrichten musst ist klar, aber das funktioniert ja eh schon bei euch wie du selber schreibst...
Bitte warten ..
Mitglied: strolchiii
09.04.2009 um 23:32 Uhr
hallo,
wenn ich jetzt die Attribute Tunnel-Type, Tunnel-Medium-Type und Tunnel-Private-Group-Id unter /etc/freeradius/ldap.attrmap angepasst habe, sagt dies dem Freeradius-Server, dass er die VLAN Tags hinzufügen soll? Das lass ich mir einreden.

Was mir aber immernoch nicht klar ist: Wo, an welcher Stelle sage ich, welche GRUPPE in welches VLAN gehört. Ich kann doch nicht in der users-Datei 1500 Benutzer einzeln mit VLANs versehen. Gibt es da im AD irgendeine Einstellung oder sowas?

Danke

gruß
felix
Bitte warten ..
Mitglied: VooDoo4711
22.10.2009 um 16:39 Uhr
Hallo zusammen,

genau an DEM Punkt häng ich auch gerade.
Hat da jemand ne Lösung für uns/mich?

Vielen Dank!

Sven.
Bitte warten ..
Mitglied: strolchiii
31.01.2012 um 19:00 Uhr
Die Doku war mal wieder nicht verfügbar:

hier der neue Link:

http://felixthec.at/air09_dokumentation.pdf


gruß
felix
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...