Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

LDAP Freeradius Mschapv2 grvp

Frage Linux

Mitglied: homenerd

homenerd (Level 1) - Jetzt verbinden

18.05.2010, aktualisiert 18.10.2012, 4171 Aufrufe, 5 Kommentare

erstmal guten Tag. Bin neu hier.

Ich hab schon ab und zu etwas gefunden das mit meinem Problem zu tun hat. Aber so richtig schlau bin ich noch nicht geworden.



Was wil ich :
Ich befinde mich in einem Heterogenen Netzwerk und möchte Windows und Linux rechner mit meinem radiusserver über LDAP authorisieren.

Was habe ich :

Ich habe einen Centos Directory Server in dem Bereits nutzer angelegt sind
Ich habe einen grvp fähigen Switch (HP2510G)
Ich habe einen Radiusserver. MSCHAPv2 geht nur mit manuellen einträgen im Radius Server.
Alles andere geht : SWITCH -> RADIUS <- LDAP

Was fehtl mir noch :

Ich habe jetzt noch das Prob das die Radius authenifizierung bei Windows clients (MSCHAPv2) nicht über LDAP geht.
Ich mächte im Anschluss über entsprechende LDAP Attribute dem user noch ein vlan zuweisen.

Ich hab für beide Probleme noch keinen richigen Ansatz.
vielleicht kann mir jemand einen Link oder ähnliches geben...

Vielen Dank im Vorraus.
Mitglied: aqui
18.05.2010, aktualisiert 18.10.2012
Ein paar Fragen....:
  • Was soll bitte GRVP sein ?? Oder meinst du GVRP (Generic VLAN Registration Protocol) ?
  • Wenn ja, was hat das dann mit deinem Vorhaben zu tun ? (GVRP steuert die VLAN Konfig in einer Switch GVRP Infrastruktur und hat mit Radius/LDAP nicht das geringste zu tun...)
  • Wenn nein, meinst du ggf. Port Authentisierung nach 802.1x mit Radius ??

Vermutlich meinst du wirklich letzteres und verwechselst da wohl mit GVRP irgendwas, denn das sind 2 unterschiedliche Baustellen.
Die dynamische Zuweisung von VLANs mit 802.1x und FreeRadius kannst du hier nachlesen:
http://www.administrator.de/forum/fragen-zu-nas%2c-radius-und-verschied ...
Bitte warten ..
Mitglied: homenerd
18.05.2010 um 17:27 Uhr
OK, ich meinte GVRP. (und ich dachte eigentlich das das mit der dynamischen zuweisung zu tun hat).
Die zuweisung selbst ist nicht das Prob, sondern das ich die Information, in welches VLAN der User kommt im LDAP espeichert wird...

und... mein Prob ist halt das MSCHAPv2 nicht auf folgendem weg funktioniert . supplicant -> switch -> radius -> LDAP -> radius -> switch

Ja und ich meine 802.1x. War gestern schon spät und ich hab mich nicht mehr richtig ausdrücken können. Sorry.
Bitte warten ..
Mitglied: aqui
18.05.2010, aktualisiert 18.10.2012
GVRP hat nichts zu tun mit dynamischer VLAN Zuweisung am Port...da irrst du ganz gewaltig. Also besser nochmal schlau machen und nachlesen was das genau ist:
http://www.worldlingo.com/ma/enwiki/en/GARP_VLAN_Registration_Protocol
GVRP sorgt einzig und allein dafür das die VLAN Info von Switch zu Switch übertragen wird die GVRP sprechen können. Damit erspart man sich das konfigurieren aller VLANs auf allen Switches im Netz einzeln.
Es ist analog zu Ciscos VTP zu sehen aber ein offener Standard, was VTP nicht ist !!
GVRP hat aber einen gravierenden Nachteil:
Die meisten Anbieter die GVRP implementieren supporten das nur in einem Single STP Prozess. D.H. einem einzelnen STP Prozess pro Switch für alle VLANs.
Das ist STP mäßig gesehen aber tiefste Steinzeit die kein Admin mehr macht, denn aus Sicherheitsgründen und Stabilität nutzt man heute PVST oder PVRST (Per VLAN (Rapid) Spanning Tree). D.h. Billigheimer HP kann GVRP auch nur im single Span Verfahren. Mal abgesehen davon das die gar kein PV(R)ST überhaupt können wie der Rest der (Switch)Welt...lediglich MSTP supporten sie. Deshalb sind sie auch so schön billig !
Die Nachteile die man sich damit einhandelt sind gravierend bei Nutzung vieler VLANs.
Das zum Thema GVRP !!

Mit deinem Vorhaben hat das rein gar nichts zu tun ! Das sind 2 Welten die sich zwar ergänzen aber nicht zusamen arbeiten.
Was du willst ist eine simple dynamische Port Authentifizierung mit dynamischer VLAN Zuweisung nach IEEE 802.1x. Ob die VLANs dann statisch auf dem Switch sind oder per GVRP gelernt ist für dein Vorhaben erstmal herzlich egal !!
Liest dir den o.a. Thread durch, da ist alles erklärt wie es geht mit FreeRadius und den VLANs.
Wie du den FreeRadius dann ans LDAP anklemmst ist zuhauf im Internet erklärt....klappt ja eh bei dir schon wenn es stimmt was oben steht...
Wo ist nun also genau dein Problem ??
Bitte warten ..
Mitglied: homenerd
18.05.2010 um 22:12 Uhr
"Nicht denken sondern nachdenken".... Naja, das kommt bei mir etwas "von oben herab". Wenn ich mit , für euch einfachen Problemen, hier falsch bin muss man mir das sagen.

Nichtsdestotrotz, danke das du dich meinem Problem "annimst"...

Also ob HP so billig ist, ich weiss ja nicht. Aber den Switch den ich habe ist halt auch nur ein managed Layer2. Aber da sind geschmäker ja verschieden.
OK mit dem GVRP lag ich wohl falsch. Hatte das nur gehört und nicht recherchiert.

Dachte eigentlich ich hätte das Prob dargestellt.
Also ich will MSCHAPv2 auf Windows clients für die 802.1x auth. nutzen. Das geht ja auch wenn ich die "user" im radius konfiguriere. Ich will aber Benutzernamen/Passwort über den LDAP authentisieren.

Und ich weiss nicht wo ich anfangen soll wenn ich die die VLAN "Daten" im LDAP speichern will, sodass der Radius sich die dort abholt.
Bitte warten ..
Mitglied: aqui
20.05.2010, aktualisiert 18.10.2012
OK, zum Switch Vergleich. Nimm einen Cisco Switch und vergleich ihm mit einem HP...was ist nun billig und was ist teuer...wie immer im Leben eine Frage der Perspektive...aber egal das hat mit deinem Problem eh nichts zu tun...
Wie MSchap mit Radius gelöst ist kannst du auch hier nachlesen:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
Allerdings nutzt das eine statische Benutzerbasis und kein LDAP. Du musst also erstmal deinen LDAP Server ans Winbloes AD ankoppeln und wasserdicht testen. Wie das gibt erklären dir zahllose Dokumente im Web.
Die Radius Funktion und .1x kannst du auch erstmal mit einem statischen Radius User testen um den Teil zu verifizieren. Wenn alles diese Komponenten für sich rennen strickt man das alles zusammen indem man im FreeRadius den LDAP Support aktiviert !
Eine gute Dokugrundlage findest du hier:
http://www.administrator.de/Dynamische_VLAN-Zuweisung_mit_FreeRADIUS_un ...
bzw.
http://www.air09.net/air09_dokumentation.pdf
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Outlook & Mail
gelöst LDAP Anfrage um E-mail auszulesen (6)

Frage von Jallio zum Thema Outlook & Mail ...

SAN, NAS, DAS
Synology: LDAP Server mit lokalen Usern Synchronisieren (3)

Frage von D46505Pl zum Thema SAN, NAS, DAS ...

Voice over IP
(Frage) Einrichtung Asterisk und LDAP (Windows Server) (3)

Frage von jeschero zum Thema Voice over IP ...

Firewall
PFSense 2.3.2 Freeradius (6)

Frage von horstvogel zum Thema Firewall ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...