Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Freeradius Server ohne Zertifikate betreiben

Frage Linux Linux Netzwerk

Mitglied: Henkam

Henkam (Level 1) - Jetzt verbinden

15.03.2014 um 08:00 Uhr, 3657 Aufrufe, 4 Kommentare

Hallo an Alle,
nach langer Zeit stehe ich mal wieder vor einem Problem. Auf der Basis von Suse 12.2 habe ich einen Freeradius Server installiert. Dieser soll für etwa 500 Personen (Bildungsinstitut) den zugang zum Internet über eine User/Passwort-Abfrage regeln. In vielen Beiträgen habe ich gelesen, dass dabei ein Zertifikat Userseits "eingelesen" werden muss. Dies - so denke ich - wird unsere Klientel eventuell "überfordern".
Für uns wäre eine Lösung sinnvoll, die lediglich Benutzername und Passwort abfragt, um per Laptop oder per Handy in's Internet zu gelangen.
Meine Frage also: Welche Einstellungen sind unter Freeradius vorzunehmen, um die Zertifikate-Problematik zu umgehen?
Zusatz: Ein Zertifikat habe ich serverseits schon erstellt und auf einem Stick gespeichert. Aber eine Verteilung auf 500 Personen - schwierig.
Gruß Hakam (immer noch Frischling)
Mitglied: Dobby
15.03.2014 um 09:32 Uhr
Hallo,

warum nimmst Du nicht einen Squid HTTP Proxy an dem
man sich einfach via Name & Passwort anmelden kann
und dann surfen kann? Squi & Squidguard sind Deine
Freunde in so einem Fall.

Der Proxy Kommt hinter die Firewall oder den Router
oder vor den LAN Switch und dann geht es los.

Wenn die 500 Zertifikate des Radius Servers verteilt sind
und die Verschlüsselung aktiviert ist, wird es Euch so oder
so einen ordentlichen "Schlag" auf LAN Kabel in Euer Netzwerk
"hauen" denn so etwas erzeugt eine enorme Last und die übrigen
Netzwerkkomponenten sollten so einer zusätzlichen Last auch
gewchsen sein!!!!

Gruß
Dobby
Bitte warten ..
Mitglied: Henkam
15.03.2014 um 13:14 Uhr
Hallo Dobby
Vielen Dank für Deine Antwort. squid unter Suse 12.2 war auch meine erste Idee. Ich hatte dort das Problem, aus der Squid.conf heraus eine externe Benutzerdatei (Benutzername, Passwort) aufzurufen. So landete ich dann in einem Linux-Forum und prompt empfahl man mir den Einsatz von Freeradius. Du siehst, man wird hin und her geschickt.
Ich finde auch, dass die reine Squidlösung einfacher ist und funktionieren müsste. Nun bin ich ein Linux-Frischling, habe Squid 3.?? installiert und kenne auch die Auth_param-Zeilen, die notwendig sind. Nur möchte ich in die Squid.conf keine Benutzer eintragen, sondern die Benutzerdatei aus der Squid.conf heraus aufrufen. Sie sollte unter Suse 12.2 z.B. im Ordner "/etc/sbin" gespeichert werden. An dieser Aufruf-Zeile war ich die ganze Zeit am "basteln", bis die Freeradius-Empfehlung kam.
Außerdem weiß ich auch nicht, in welchem Format eine externe (nicht in Squid.conf enthaltene) Benutzerauthentifizierungsdatei unter Linux vorliegen muss (CSV???) Solltest Du dieses Wissen haben, wäre ich froh, diese Informationen zu erhalten. So könnte ich mich wider auf meinen ursprünglichen Weg begeben.
Gruß Hakam
Bitte warten ..
Mitglied: aqui
16.03.2014, aktualisiert um 11:19 Uhr
Du musst das Zertikikat nicht zwingend installieren. Im Client kannst du die Zertifikat Überprüfung wegklicken (abwählen). Siehe Beschreibung im hiesigen Tutorial:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
Damit ist dann das Zertifikat obsolet.

Damit besteht allerdings dann die Gefahr das den Clients jeder beliebige Radius "untergeschoben" werden die dann alles authentisieren.
Damit hebelst du eigentlich den tieferen Sinne eines Radius aus, was du dir sicher selber denken kannst. Zur Vereinfachung ist das aber möglich wenn du mit diesem gravierenden Nachteil leben kanst und es dir nur um eine zntralisierte User Verwaltung geht !
Bitte warten ..
Mitglied: Dobby
16.03.2014, aktualisiert um 17:19 Uhr
Hallo,

Du dieses Wissen haben, wäre ich froh, diese Informationen zu erhalten.
So könnte ich mich wider auf meinen ursprünglichen Weg begeben.
Also ich hier zu Hause nutze keinen HTTP Proxy Server,
aber in einem anderen Beitrag hat jemand genau das
Gegenteil haben wollen, nämlich das sich seine Benutzer
nicht mehr mit Name und Passwort am HTTP Proxy
anmelden müssen, also von daher sollte es schon
eine Möglichkeit geben.

Möglich wäre auch ein HotSpot Installation wo die
Vouchers dann eben für die gesamte Dauer des
Kurses gültig sind.

Ich denke das Du einfach nur keinen transparenten
HTTP Proxy einsetzen kannst.

Gruß
Dobby
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Router & Routing
gelöst VPN-Server (Fritzbox) hinter Zyxel 5501 betreiben (7)

Frage von basti76nie zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Server-Hardware
Lenovo Server System X 3650 M5 Festplatten (9)

Frage von Hendrik2586 zum Thema Server-Hardware ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...