Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Linux Linux Netzwerk

Freeradius Server ohne Zertifikate betreiben

Mitglied: Henkam

Henkam (Level 1) - Jetzt verbinden

15.03.2014 um 08:00 Uhr, 4298 Aufrufe, 4 Kommentare

Hallo an Alle,
nach langer Zeit stehe ich mal wieder vor einem Problem. Auf der Basis von Suse 12.2 habe ich einen Freeradius Server installiert. Dieser soll für etwa 500 Personen (Bildungsinstitut) den zugang zum Internet über eine User/Passwort-Abfrage regeln. In vielen Beiträgen habe ich gelesen, dass dabei ein Zertifikat Userseits "eingelesen" werden muss. Dies - so denke ich - wird unsere Klientel eventuell "überfordern".
Für uns wäre eine Lösung sinnvoll, die lediglich Benutzername und Passwort abfragt, um per Laptop oder per Handy in's Internet zu gelangen.
Meine Frage also: Welche Einstellungen sind unter Freeradius vorzunehmen, um die Zertifikate-Problematik zu umgehen?
Zusatz: Ein Zertifikat habe ich serverseits schon erstellt und auf einem Stick gespeichert. Aber eine Verteilung auf 500 Personen - schwierig.
Gruß Hakam (immer noch Frischling)
Mitglied: 108012
15.03.2014 um 09:32 Uhr
Hallo,

warum nimmst Du nicht einen Squid HTTP Proxy an dem
man sich einfach via Name & Passwort anmelden kann
und dann surfen kann? Squi & Squidguard sind Deine
Freunde in so einem Fall.

Der Proxy Kommt hinter die Firewall oder den Router
oder vor den LAN Switch und dann geht es los.

Wenn die 500 Zertifikate des Radius Servers verteilt sind
und die Verschlüsselung aktiviert ist, wird es Euch so oder
so einen ordentlichen "Schlag" auf LAN Kabel in Euer Netzwerk
"hauen" denn so etwas erzeugt eine enorme Last und die übrigen
Netzwerkkomponenten sollten so einer zusätzlichen Last auch
gewchsen sein!!!!

Gruß
Dobby
Bitte warten ..
Mitglied: Henkam
15.03.2014 um 13:14 Uhr
Hallo Dobby
Vielen Dank für Deine Antwort. squid unter Suse 12.2 war auch meine erste Idee. Ich hatte dort das Problem, aus der Squid.conf heraus eine externe Benutzerdatei (Benutzername, Passwort) aufzurufen. So landete ich dann in einem Linux-Forum und prompt empfahl man mir den Einsatz von Freeradius. Du siehst, man wird hin und her geschickt.
Ich finde auch, dass die reine Squidlösung einfacher ist und funktionieren müsste. Nun bin ich ein Linux-Frischling, habe Squid 3.?? installiert und kenne auch die Auth_param-Zeilen, die notwendig sind. Nur möchte ich in die Squid.conf keine Benutzer eintragen, sondern die Benutzerdatei aus der Squid.conf heraus aufrufen. Sie sollte unter Suse 12.2 z.B. im Ordner "/etc/sbin" gespeichert werden. An dieser Aufruf-Zeile war ich die ganze Zeit am "basteln", bis die Freeradius-Empfehlung kam.
Außerdem weiß ich auch nicht, in welchem Format eine externe (nicht in Squid.conf enthaltene) Benutzerauthentifizierungsdatei unter Linux vorliegen muss (CSV???) Solltest Du dieses Wissen haben, wäre ich froh, diese Informationen zu erhalten. So könnte ich mich wider auf meinen ursprünglichen Weg begeben.
Gruß Hakam
Bitte warten ..
Mitglied: aqui
16.03.2014, aktualisiert um 11:19 Uhr
Du musst das Zertikikat nicht zwingend installieren. Im Client kannst du die Zertifikat Überprüfung wegklicken (abwählen). Siehe Beschreibung im hiesigen Tutorial:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
Damit ist dann das Zertifikat obsolet.

Damit besteht allerdings dann die Gefahr das den Clients jeder beliebige Radius "untergeschoben" werden die dann alles authentisieren.
Damit hebelst du eigentlich den tieferen Sinne eines Radius aus, was du dir sicher selber denken kannst. Zur Vereinfachung ist das aber möglich wenn du mit diesem gravierenden Nachteil leben kanst und es dir nur um eine zntralisierte User Verwaltung geht !
Bitte warten ..
Mitglied: 108012
16.03.2014, aktualisiert um 17:19 Uhr
Hallo,

Du dieses Wissen haben, wäre ich froh, diese Informationen zu erhalten.
So könnte ich mich wider auf meinen ursprünglichen Weg begeben.
Also ich hier zu Hause nutze keinen HTTP Proxy Server,
aber in einem anderen Beitrag hat jemand genau das
Gegenteil haben wollen, nämlich das sich seine Benutzer
nicht mehr mit Name und Passwort am HTTP Proxy
anmelden müssen, also von daher sollte es schon
eine Möglichkeit geben.

Möglich wäre auch ein HotSpot Installation wo die
Vouchers dann eben für die gesamte Dauer des
Kurses gültig sind.

Ich denke das Du einfach nur keinen transparenten
HTTP Proxy einsetzen kannst.

Gruß
Dobby
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
WLAN mit Zertifikaten über Freeradius
Frage von TheBesthLAN, WAN, Wireless1 Kommentar

Hallo, ich habe mal eine spezielle Frage: Ist es möglich Freeradius so zu konfigurieren, dass ich folgendes erreichen kann: ...

Netzwerkmanagement
FreeRadius - Anmelden nur mit Zertifikat - Wie?
Frage von sleeplessnightNetzwerkmanagement1 Kommentar

Hallo ihr, ich hab soweit den Radius am laufen. Mein Problem dabei: Er akzeptiert unter Peap Username+Passwort ohne jegliches ...

Verschlüsselung & Zertifikate
FreeRadius: Zertifikat erstellen failed. - pfSense
gelöst Frage von PertinaxoVerschlüsselung & Zertifikate1 Kommentar

Guten Morgen, ich arbeite aktuell an meiner Projektarbeit. Mein System auf dem ich arbeite ist ein x86. - Intel ...

LAN, WAN, Wireless
Freeradius und LDAPs
gelöst Frage von Tikro76LAN, WAN, Wireless2 Kommentare

Hallo zusammen, dies ist mein erster Beitrag somit steinigt mich bitte nicht. :) Ich fummel im Zuge meiner Projektarbeit ...

Neue Wissensbeiträge
Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 4 StundenMicrosoft1 Kommentar

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 3 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit13 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Heiß diskutierte Inhalte
Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen10 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS10 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk9 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...

Windows Netzwerk
Zugriff auf den Desktop Ordner eines anderen Rechners in der gleichen Domäne
gelöst Frage von JensNomaWindows Netzwerk6 Kommentare

Guten Abend, ich war neulich mit unserem Admin am Tisch gesessen. Er an seinem Notebook angemeldet mit dem Domänen-Admin, ...