Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

IEEE 802.1X Authentifizierung mit freeRADIUS

Frage Sicherheit Firewall

Mitglied: Snowman5840

Snowman5840 (Level 1) - Jetzt verbinden

06.10.2010, aktualisiert 18.10.2012, 7932 Aufrufe, 15 Kommentare

Hallo
und zwar ich hab die Aufgabe bei uns fürs kabelgebundene Netz eine IEEE 802.1X Authentifizierung mit freeRADIUS und LDAP Anbindung zu implementieren. Und dazu habe ich paar Fragen.

- Wenn ich Benutzer direkt im freeRADIUS anlege kann ich mich erfolgreich anmelden wenn der Client eine feste IP hat. Aber wenn der Client die IP vom DHCP Server beziehen soll gehts nicht (er bekommt keinen IP und Authentifizieren kann er sich auch nicht). Brauch ich wenn ich mich beim freeRADIUS authentifizieren will zuerst eine zugewiesen IP? Bzw wie kann ich das einstellen damit der Client sich authentifiziert und eine IP vom DHCP zugewiesen bekommt?

- Benötige ich überhaupt Zertifikate wenn ich mit freeRADIUS arbeiten möchte!? Wenn ich die LDAP Userdaten abfragen kann sollte das gnaze doch auch ohne Zertifikate funktionieren, oder habe ich was wichtiges übersehen? Die Zertifikate könnte ich ja anstelle einer LDAP abfrage benutzen?

Ich hoffe ihr könnt mir weiterhelfen.

Gruß
Mitglied: dog
06.10.2010 um 20:00 Uhr
Brauch ich wenn ich mich beim freeRADIUS authentifizieren will zuerst eine zugewiesen IP?

Nein.
Der Client sendet die Anmeldedaten an den Switch und der an den RADIUS-Server.
Ein Client muss dazu weder eine IP haben noch jemals mit dem RADIUS-Server selbst direkt kommunizieren können.

- Benötige ich überhaupt Zertifikate wenn ich mit freeRADIUS arbeiten möchte!?

Du kannst es bei Computern auch über MAC-IDs machen.
Das ist technisch so effizient wie einen Blinden vor die Disco zu stellen, der jeden fragt "Bist du schon 18?"

Bei Benutzern geht es auch über die einfachen Benutzerdaten gegen LDAP, aber da die jeder kennt macht 802.1x damit absolut keinen Sinn mehr (außer ihr habt in der Lobby jeden LAN-Port angeschlossen).

802.1x in Kabelgebundenen Netzwerken ist ohnehin vergleichbar mit http://stupid.sharp.fm/images/windows-xp-firewall.jpg

Es kümmert sich nur um die Zutrittskontrolle. Danach kann man machen was man will und selbst eine Zutrittskontrolle lässt sich mit 802.1x nicht sicher gestalten.
Bitte warten ..
Mitglied: Snowman5840
07.10.2010 um 08:27 Uhr
ok, muss ich aber dann noch was spezielles einstellen damit der CLient sich zuerst authentifiziert und dann den DHCP Server kontaktiert. Weil bei mir gehts so jetzt nicht.

Warum soll das mit den Bneutzerdaten über LDAP unsichern sein? Dachte der SUer bekommt dann erst Zugriff zum Netz wenn Username und PAsswort übereinstimmen. Das PAsswort kennt aber doch nicht ejder.

Ich dachte mit Zertifikate könnte ich generell die Abfrage von LDAP Daten ersetzen. Sodas jeder nur ein Zertifikat bekommt und somit Zugriff zum Netz bekommt.
Aber ich glaub das mit den Zertifikate und MAC IDs hab ich beim freeRADIUS noch niocht ganz kapiert!???
Bitte warten ..
Mitglied: aqui
07.10.2010, aktualisiert 18.10.2012
Nein, DHCP kommt immer durch. So oder so gibt es nach dem 802.1x Login immer einen neuen DHCP Request. Mit DHCP gibt es deshalb keinerlei Probleme.
Weitere Infos bieten diese Threads:
http://www.administrator.de/forum/fragen-zu-nas%2c-radius-und-verschied ...
http://www.administrator.de/Dynamische_VLAN-Zuweisung_mit_FreeRADIUS_un ...
usw.
Bitte warten ..
Mitglied: Snowman5840
07.10.2010 um 18:08 Uhr
ok das mit dem DHCP geht jetzt. Keine Ahnung was da nicht gepasst hat.

Jetzt habe ich aber ein anderes Problem. Und zwar wenn ich mich am Rechner (XP) mit einem Domain Account anmelde, möchte ich das er über LDAP die Userdaten abfrägt. Auf dem freeRadius sehe ich aber das er versucht sich mit dem Hostname anzumelden, was natürlich nicht geht. Wenn der Client das lokale Profil geladen hat bekomme ich einen Hinweis das ich mich authorisieren muss. Wenn ich dort dann den Username und PW eingeben vergleicht er es mit den LDAP Daten und gibt mir den Zugriff.

Wieso versucht er sich zuerst mit dem Hostname anzumelden und wo kann ich das den ändern, damit er gleich beim anmelden den Username benutzt der eingetragen wird!?
Bitte warten ..
Mitglied: aqui
07.10.2010, aktualisiert 18.10.2012
Bitte warten ..
Mitglied: Snowman5840
07.10.2010, aktualisiert 18.10.2012

jo das ist mir jetzt schon klar. Aber bei mir bekommt der Radius Server nicht den Benutzername sondern den Rechnername. Ist sicher nur eine Einstellungssache , weiß aber nur nicht wo!?

01.
rad_recv: Access-Request packet from host 192.168.0.2 port 1812, id=11, length=141 
02.
	NAS-IP-Address = 192.168.0.2 
03.
	NAS-Port = 50009 
04.
	NAS-Port-Type = Ethernet 
05.
	User-Name = "host/lt-aba" 
06.
	Called-Station-Id = "00-15-F9-D8-7C-C9" 
07.
	Calling-Station-Id = "00-1A-4B-63-69-0B" 
08.
	Service-Type = Framed-User 
09.
	Framed-MTU = 1500 
10.
	EAP-Message = 0x02060014014649524d41315c626c657273636861 
11.
	Message-Authenticator = 0xe225ca5a220de3fa522b468227c46acf 
12.
+- entering group authorize {...} 
13.
++[preprocess] returns ok 
14.
++[chap] returns noop 
15.
++[mschap] returns noop 
16.
[suffix] No '@' in User-Name = "host/lt-aba", looking up realm NULL 
17.
[suffix] No such realm "NULL" 
18.
++[suffix] returns noop 
19.
[eap] EAP packet type response id 6 length 20 
20.
[eap] No EAP Start, assuming it's an on-going EAP conversation 
21.
++[eap] returns updated 
22.
++[unix] returns notfound 
23.
++[files] returns noop 
24.
[ldap] performing user authorization for host/lt-aba 
25.
[ldap] 	expand: %{Stripped-User-Name} ->  
26.
[ldap] 	... expanding second conditional 
27.
[ldap] 	expand: %{User-Name} -> host/lt-aba 
28.
[ldap] 	expand: (uid=%{%{Stripped-User-Name}:-%{User-Name}}) -> (uid=host/lt-aba) 
29.
[ldap] 	expand: dc=firma1,dc=de -> dc=firma1,dc=de 
30.
  [ldap] ldap_get_conn: Checking Id: 0 
31.
  [ldap] ldap_get_conn: Got Id: 0 
32.
  [ldap] performing search in dc=firma1,dc=de, with filter (uid=host/lt-aba) 
33.
  [ldap] object not found 
34.
[ldap] search failed
Bitte warten ..
Mitglied: aqui
08.10.2010 um 10:24 Uhr
Das ist eine Frage der Konfiguration des 802.1x Clients bzw. des switches der den finalen Radius Request ja losschickt. Vermutlich hast du ihn so eingestellt das er keine User/Passwort Abfrage macht sondern automatisch den Hostnamen schickt. Leider teilst du uns deinen verwendeten Switch ja nicht mit, dann hätten wir für dich mal das Handbuch dazu lesen können !
Mit dem FreeRadius hat das nix zu tun wie du ja am obigen Debug selber sehen kannst. Der Client bzw. der Switch schickt das ja schon so an den Radius.
Bitte warten ..
Mitglied: Snowman5840
08.10.2010 um 13:00 Uhr
Also im Handbuch hab ich nachgeguckt. Wäre mir neu das es für den Switch dafür einen Konfigurationsparameter gibt, lass mich aber gerne eines besseren belehren.

Ist ein Cisco C2950 Switch. Client ist XP SP3

Hier mal meine aktuelle Konfiguration:
01.
aaa new-model 
02.
aaa authentication dot1x default group radius 
03.
dot1x system-auth-control 
04.
interface FastEthernet0/1 
05.
 switchport mode access 
06.
 dot1x port-control auto  
07.
 
08.
radius-server host 192.168.0.3 auth-port 1812 acct-port 1813 key test123 
09.
 
Bitte warten ..
Mitglied: aqui
08.10.2010 um 19:17 Uhr
Dann kann es nur der Client selber sein. Normalerweise fragt der Client auch nach Username/Passwort. Er bietet aber auch immer die Authentifizierungs Option umzustellen z.B. Zertifikate usw. usw. Muss ja auch so sein, wenn man diese Optionen nutzen muss.
Also in den .1x Client Eigenschaften nachsehen !
Etwas fehlt auch noch an deiner Konfig:
interface FastEthernet0/1
switchport mode access
authentication port-control auto
dot1x pae-authenticator
dot1x tx-period 5
Bitte warten ..
Mitglied: Snowman5840
12.10.2010 um 09:06 Uhr
Zitat von aqui:
interface FastEthernet0/1
switchport mode access
authentication port-control auto
dot1x pae-authenticator
dot1x tx-period 5



DIe Prameter sind nur optional. Müssen niocht sein, laut Hndbuch und hat auch am Verhalten nichts geändert.

Wenn ich beim XP Client die Option " Automatisch eigene Windows-Anmeldedaten und Kennwort verwenden" aktiviere, seh ich im Debug utput folgendes:

01.
rad_recv: Access-Request packet from host 192.168.0.2 port 1812, id=62, length=240 
02.
	NAS-IP-Address = 192.168.0.2 
03.
	NAS-Port = 50009 
04.
	NAS-Port-Type = Ethernet 
05.
	User-Name = "FIRMA1\\usera" 
06.
	Called-Station-Id = "00-15-F9-D8-7C-C9" 
07.
	Calling-Station-Id = "00-1A-4B-63-69-0B" 
08.
	Service-Type = Framed-User 
09.
	Framed-MTU = 1500 
10.
	State = 0xc5fe953bc3f98c0b9575e677705364e2 
11.
	EAP-Message = 0x0207006119001703010056b327be51594f6985d1854f17199fefe7151d57481c244787051f7067a50a0056a15e0a831a3aa3661a61aeed66e3c7dc85cd3315301bfd825c786fd60e0110f5124e76e2d543c9a6fd99371be7f1a9637b8ce527669f 
12.
	Message-Authenticator = 0xad6e1b5107c7af4b9a5ba3e648d65859 
13.
+- entering group authorize {...} 
14.
++[chap] returns noop 
15.
++[mschap] returns noop 
16.
++[unix] returns notfound 
17.
[suffix] No '@' in User-Name = "FIRMA1\usera", looking up realm NULL 
18.
[suffix] No such realm "NULL" 
19.
++[suffix] returns noop 
20.
++[control] returns noop 
21.
[eap] EAP packet type response id 7 length 74 
22.
[eap] No EAP Start, assuming it's an on-going EAP conversation 
23.
++[eap] returns updated 
24.
++[files] returns noop 
25.
[ldap] performing user authorization for FIRMA1\usera 
26.
[ldap] WARNING: Deprecated conditional expansion ":-".  See "man unlang" for details 
27.
[ldap] 	... expanding second conditional 
28.
[ldap] 	expand: %{User-Name} -> FIRMA1\5cusera 
29.
[ldap] 	expand: (uid=%{Stripped-User-Name:-%{User-Name}}) -> (uid=FIRMA1\5cusera) 
30.
[ldap] 	expand: dc=firma1,dc=de -> dc=firma1,dc=de 
31.
  [ldap] ldap_get_conn: Checking Id: 0 
32.
  [ldap] ldap_get_conn: Got Id: 0 
33.
  [ldap] performing search in dc=firma1,dc=de, with filter (uid=FIRMA1\5cusera) 
34.
  [ldap] object not found 
35.
[ldap] search failed 
36.
  [ldap] ldap_release_conn: Release Id: 0 
37.
++[ldap] returns notfound
Jetzt bekommt der Radius zumindest den USername mitgeschickt. ABer ich vermute das er durch die 2 "\\" ein Problem hat. Und dadurch eine entsprechende Suche aufem LDAP Server fehlschlägt. Warum werden vom XP Client 2 Backslash verschickt!? Bzw wie kann ich den Suchfilter aufem Radius anpassen, damit er z.b. einen Backslash einfach ignoriert!?

Hab dazu einfach nix gefunden. Die Doku für den freeRadius ist recht rar in bezug auf LDAP.
Bitte warten ..
Mitglied: Snowman5840
15.10.2010 um 21:12 Uhr
hat da noch jemand eine Idee was ich falsch mache bzw wo das Problem liegt? Habs immer noch nicht hinbekommen.
Bitte warten ..
Mitglied: aqui
15.10.2010 um 22:05 Uhr
Hat dein XP den klassischen onboard Client oder ienen externen wie den Aegis etc. ?? Lönnte sein das es daran liegt.
Hier rennt die gleiche Konstellation mit XP onboard, Cisco, und HP Switch vollkommen problemlos !
Halte dich Schritt für Schritt and dieses Tutorial:
http://security.fi.infn.it/TRIP/802.1x-wired/802.1x-wired.html
Damit sollte es ja auch bei dir klappen !
Bitte warten ..
Mitglied: Snowman5840
22.10.2010 um 18:40 Uhr
Hi

also, das ganze geht zwar immer noch nicht so wie ich das will, aber da muss ich noch etwas an der config drehen.

Das mit dem "\\" hab ich gelöst.

Man muss vom realm modul den ntdomain part nutzen, damit er die \\ in \ umwandelt. Wichtig dabei ist ebenfalls in der proxy.conf einen Bereich für seine Domain anzulegen, da das ganze bei mir sonst nicht geklappt hat.

also z.b. so (proxy.conf):

realm DOMAIN {
type = radius
authhost = LOCAL
accthost = LOCAL
secret = pw
}
Bitte warten ..
Mitglied: aqui
24.10.2010 um 16:50 Uhr
Danke für das Feedback. Ich habe das gerade mal nachgestellt und du hast recht. Wenn man im 802.1x Client den Haken in der erweiterten Eigenschaften setzt das er sich mit dem Anmeldenamen am Radius anmelden soll wird immer der Hostname ala:
....
rad_recv: Access-Request packet from host 192.168.123.252 port 1645, id=14, length=197
User-Name = "LAPTOP\\willi"
Service-Type = Framed-User
Framed-MTU = 1500
NAS-IP-Address = 192.168.123.252
NAS-Port = 10
Calling-Station-Id = "00-82-6E-81-3F-37"


Da "willi" mit der Einstellung:
"willi" Cleartext-Password := "willi"
in der users Datei steht, schlägt die Authentifizierung dann fehl, genau wie du oben beschreibst
Nimmt man den Haken raus bekommt man ein PoPup Window zur manuellen Eingabe der .1x Daten und wenn man hier "willi" manuell eingibt rennt alles sauber durch.

390b6ae682b6c4b79698f112c7b3bb1b - Klicke auf das Bild, um es zu vergrößern

Leider gibt die FreeRadius Doku nicht so viel her wie man den Hostpart vom Usernamen "abklemmen" kann bei der automatischen User Authentifizierung.
Also das letztlich bei einer rein statischen Authentisierung über die users Datei ohne Domain vom übertragenen Usernamen LAPTOP\\willi das der vorangehende Hostname "LAPTOP\\" ignoriert wird und nur auf den Usernamen "willi" authentisiert wird.

In /etc/raddb/modules gibt es die "realm" Datei die das mit der NTDOMAIN relam vermutlich realisieren kann.
realm ntdomain {
format = prefix
delimiter = "\\"
}

Die Frage ist nur wie man das aktiviert in der proxy.conf oder der radisud.conf ?!

Es wäre sehr interessant WO du diese Geschichte mit dem NT Domain Part gefunden hat um das einmal nachzulesen.
Hast du da einen URL für die Dou oder ein HowTo ??
Bitte warten ..
Mitglied: Snowman5840
24.10.2010 um 19:32 Uhr
Nein hab da leider kein Link dafür, da wie du selbst sagst die Doku sehr mager ist. Ich werd aber wenn ich fertig bin ein HowTo erstellen und das dann online stellen..

Im Realm Modul kannst du nur die verscheidenen Trennzeichen eingeben bzw ändern. Um das Modul letzendlich auch zu benutzen muss die Datei unter: /etc/freeradius/sites-available/default und innrer-tunnel angepasst werden um den ntdomain delimiter zu laden.
Wichtig dabei ist, das nur ein Trennzeichen akiviert werden kann. Wenn mehrer benutzt werden sollen steht dazu ein Hinweis in dem obne angegebenen Konfig File.

Zusatzlich muss in /etc/freeradius/proxy.conf die Domain angelegt werden.


Soll die mschap Authentifizierung benutzt werden und nicht das "user" File muss zusätzlich im mschap Modul der nt_domain_hack aktiviert werden, da sonst die Authentifizierung wegen einem falsch formatierten Usernamen fehl schlägt.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst 802.1x Authentifizierung - NPS - RADIUS MAC (4)

Frage von LKaderavek zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst 802.1x Authentifizierung HP Switch und MS NPS (7)

Frage von NoobOne zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst Access Point für 802.1X Authentifizierung (6)

Frage von technikneuling zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
gelöst RADIUS 802.1x Geräte Authentifizierung (3)

Frage von Cloudy zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...