4
LDAP Anmeldung und 802.1X Anmeldung
Ich möchte mich unter Linux an einem LDAP anmelden und dabei eine 802.1X Authentifizierung verwenden.
Ich möchte mich unter Linux an einem LDAP anmelden und dabei eine 802.1X Authentifizierung verwenden. Hat jemand eine Idee? Meine Überlegung war, dass ich meinen Rechner erstmal für die LDAP Anmeldung konfiguriere. Das hat auch geklappt mit
getent passwd bekomme ich meine USER zurück.
Jetzt möchte ich aber über den Netzwerk Manager die 802.1X Verbindung aufbauen. Das Problem ist, dass dieser seit dem Ändern der Konfigs auf LDAP Anmeldung nicht mehr oben rechts eingeblendet ist und auch sonst nicht mehr gestartet werden kann.
Wenn ich /etc/ init.d/network-manager restart eingebe kommt zwar das Symbol wieder oben rechts aber mit einem roten Ausrufezeichen und bei einem Klick erscheint die Meldung GERÄT WIRD NICHT VERWALTET.
Komischerweise hatte ich vor dem LDAPen des Systems noch die Möglichkeit die 802.1X über den Netzwerk-manager anzustoßen.
Bin ich auf dem Holzweg oder weiß jemand was dazu?????
getent passwd bekomme ich meine USER zurück.
Jetzt möchte ich aber über den Netzwerk Manager die 802.1X Verbindung aufbauen. Das Problem ist, dass dieser seit dem Ändern der Konfigs auf LDAP Anmeldung nicht mehr oben rechts eingeblendet ist und auch sonst nicht mehr gestartet werden kann.
Wenn ich /etc/ init.d/network-manager restart eingebe kommt zwar das Symbol wieder oben rechts aber mit einem roten Ausrufezeichen und bei einem Klick erscheint die Meldung GERÄT WIRD NICHT VERWALTET.
Komischerweise hatte ich vor dem LDAPen des Systems noch die Möglichkeit die 802.1X über den Netzwerk-manager anzustoßen.
Bin ich auf dem Holzweg oder weiß jemand was dazu?????
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 156946
Url: https://administrator.de/contentid/156946
Printed on: April 24, 2024 at 07:04 o'clock
4 Comments
Latest comment
Das Problem war, dass ich meine Netzwerkverbindung in /etc/network/interfaces stehen hatte und das gefällt dem Network-Manager nicht und er hängt sich auf. Desweiteren muss man in der /etc/Networkmanager/nm-system-settings.conf der Wert von
[ifupdown]
managed=true gesetzt werden (steht default auf false)
Im Reiter 802.1X Sicherheit muss Automatisch verbinden und für alle Benutzer verfügbar, angekreuzt werden.
Jetzt habe ich es jetzt geschafft, dass die 802.1X Anmeldung vor dem LDAP Login Fenster angestoßen wird. Allerdings scheitert diese Anmeldung und ich weiß nicht warum. Der Authentifizierungsserver (Freeradius) meldet bei diesem scheiterndem Versuch eine Access-Challenge und führt deswegen ca. 20 Sekunden später einen zweiten Versuch mit den Exakt gleichen Client und Server Einstellungen durch wie beim ersten mal. Nur mit dem Wunder, dass es jetzt klappt....
Ich weiß jetzt nicht ob es am Client liegt, weil dieser dann im Bootvorgang schon weiter ist oder ob es an einer Servereinstellung hängt.
Bitte um Statements
[ifupdown]
managed=true gesetzt werden (steht default auf false)
Im Reiter 802.1X Sicherheit muss Automatisch verbinden und für alle Benutzer verfügbar, angekreuzt werden.
Jetzt habe ich es jetzt geschafft, dass die 802.1X Anmeldung vor dem LDAP Login Fenster angestoßen wird. Allerdings scheitert diese Anmeldung und ich weiß nicht warum. Der Authentifizierungsserver (Freeradius) meldet bei diesem scheiterndem Versuch eine Access-Challenge und führt deswegen ca. 20 Sekunden später einen zweiten Versuch mit den Exakt gleichen Client und Server Einstellungen durch wie beim ersten mal. Nur mit dem Wunder, dass es jetzt klappt....
Ich weiß jetzt nicht ob es am Client liegt, weil dieser dann im Bootvorgang schon weiter ist oder ob es an einer Servereinstellung hängt.
Bitte um Statements
Diese Tutorial sollte dein Problem lösen:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
...einfach mal die Suchfunktion nutzen !
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
...einfach mal die Suchfunktion nutzen !
Es ist ja nicht so, dass ich keine Suchfunktion verwende. Aber wenn du mal meinen Post genauer durchließt, ist das was du mir hier geschickt hast was ganz anderes wie ich wollte! Für dieses Tutorial muss man nämlich schon auf dem System angemeldet sein und das geht bei mir nicht, da ich mich an einem LDAP authentifizieren will und zum Zeitpunkt dieser Authentifizierung kein Netzwerk habe. Oder schaffe ich es irgendwie dem dem XSupplicant zu sagen, dass er die 802.1x Anmeldung während dem Booten abwickeln soll?
Sorry, aber da hast du dann nicht wirklich gelesen wie eine .1x Authentifizierung abläuft:
http://de.wikipedia.org/wiki/IEEE_802.1X
Lies dir das also bitte nochmal genau durch, denn dann müsstest du diese Frage nicht stellen !
Der Supplicant (dein Client am Port) fragt per EAPoL den Authenticator (der .1x Switch), dieser generiert daraus eine Radius Server Abfrage und der radius hat dann logischerweise den LDAP mit drauf oder ist per LDAP an einen externen LDAP Server angebunden. Freeradius bietet diese Option die einfach zu aktivieren ist !
Radius fragt also LDAP und LDAP antwortet User ist bekannt und darf oder er darf nicht. LDAP stellt also die Benutzerdatenbank dar statt einer lokalen Userdatei.
Daraufhin antwortet der Radisu Server dann dem Switch mit einer Success oder Fail message der dann den Port freigibt oder blockt...so einfach ist das ! Man muss niemals auf einem System angemeldet sein, wäre ja auch vollkommen unlogisch bei einer 802.1x Port Authentifizierung wo ich den Zugang ja am Port direkt kontrollieren will !
Fazit: Beim Booten bzw. Anstecken an den Switch ist natürlich eine Abfrage möglich. Muss ja auch so sein, denn sonst wäre ja die ganze 802.1x Story in sich ja völlig unsinnig !
http://de.wikipedia.org/wiki/IEEE_802.1X
Lies dir das also bitte nochmal genau durch, denn dann müsstest du diese Frage nicht stellen !
Der Supplicant (dein Client am Port) fragt per EAPoL den Authenticator (der .1x Switch), dieser generiert daraus eine Radius Server Abfrage und der radius hat dann logischerweise den LDAP mit drauf oder ist per LDAP an einen externen LDAP Server angebunden. Freeradius bietet diese Option die einfach zu aktivieren ist !
Radius fragt also LDAP und LDAP antwortet User ist bekannt und darf oder er darf nicht. LDAP stellt also die Benutzerdatenbank dar statt einer lokalen Userdatei.
Daraufhin antwortet der Radisu Server dann dem Switch mit einer Success oder Fail message der dann den Port freigibt oder blockt...so einfach ist das ! Man muss niemals auf einem System angemeldet sein, wäre ja auch vollkommen unlogisch bei einer 802.1x Port Authentifizierung wo ich den Zugang ja am Port direkt kontrollieren will !
Fazit: Beim Booten bzw. Anstecken an den Switch ist natürlich eine Abfrage möglich. Muss ja auch so sein, denn sonst wäre ja die ganze 802.1x Story in sich ja völlig unsinnig !
