Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VLAN Zuweisung bevor man sich im System anmeldet

Frage Internet

Mitglied: burge550

burge550 (Level 1) - Jetzt verbinden

07.10.2010 um 15:14 Uhr, 4325 Aufrufe, 9 Kommentare

Ich habe einen Freeradius Server mit SSL Support, LDAP Authetifizierung über TLS Tertifikate und VLAN Zuweisung am laufen.

Soweit so gut. Das funktioniert auch alles wenn ich mich an einem lokalen Benutzerkonto anmelde und mich danach über einen 802.1X Client gegen den Radius authentifiziere, bekomme ich danach mein gewünschtes VLAN zugewiesen und habe ab dann Zugang zum Netz.

Jetzt ist es aber so, dass ich mich über mein LDAP auch noch anmelden will und nicht nur an einem lokalen Benutzerkonto. Das Problem hierbei ist, dass ich ja bevor ich mich gegen den Radius authentifiziere kein Zugang zum LDAP bzw. zu irgendeinem Netz habe und mich somit auch nicht am System anmelden kann. Gibt es eine Möglichkeit, bevor die Benutzeranmeldung erfolgt, schon die 802.1x Authentifizierung durchzuführen damit ich danach Netzzugriff für die Anmeldung über LDAP habe?

Würde mich sehr über Vorschläge freuen.

Grüße
Mitglied: aqui
07.10.2010 um 17:31 Uhr
Das ist auch gar nicht erforderlich !! Der Radius Server muss aber einen LDAP Zugang haben, damit er dich mit deinem LDAP Account authentifizieren kann ! So wird ein Schuh draus !
Wie du FreeRadius in LDAP einbindest sagen dir unzählige Dokumente im Web. Dr. Google ist wie immer dein Freund !
http://www.rrze.uni-erlangen.de/dienste/arbeiten-rechnen/linux/howtos/l ...
http://www.administrator.de/Dynamische_VLAN-Zuweisung_mit_FreeRADIUS_un ...
usw. usw.
Bitte warten ..
Mitglied: burge550
07.10.2010 um 18:05 Uhr
Prima! Die beiden Anleitungen habe ich auch schon bei der Authentifizierung meiner Benutzer mitels Freeradius gelesen! Und das funktioniert auch einwandfrei mit der Konfiguration von:

http://www.rrze.uni-erlangen.de/dienste/arbeiten-rechnen/linux/howtos/l ...

Du scheinst aber mein Problem nicht zu verstehen. Ich will mich am Windows über das LDAP Konto anmelden. Wenn ich aber noch kein VLAN vom Radius bekommen habe, erreiche ich das LDAP nicht. Verstehst du das?

Freundliche Grüße
Burge550
Bitte warten ..
Mitglied: aqui
07.10.2010 um 19:47 Uhr
DU hast es nicht verstanden...sorry. Dreh und Angelpunkt ist doch erstmal der Radius Server. Der .1x Client kann erstmal nur per EaPOL (EAP over LAN) mit dem Switch sprechen. Kein anderes Protokoll !! Der Switch wiederum fragt dann den Radius Server ob der User darf und das kann er dann auch über LDAP machen.
Wenn du einen Domänen Login meinst, dann reicht es sich einmal an der Domäne ohne .1x angemeldet zu haben, dann klappt das weitere LDAP Login auch so.
Ansonsten musst du das Login Zertifikat manuel auf den Client einspielen. Das löst das Problem ! Oder...den IAS zum Authentifizieren verwenden.
Bitte warten ..
Mitglied: burge550
19.10.2010 um 15:45 Uhr
Ich nochmal... sorry ich stehe glaube ich immer noch auf dem Schlauch.

Ich bin jetzt gerade soweit, dass ich die Geschichte mit den Zertifikaten nochmals hinten an gestellt habe, da ich den Kommentar von Aqui nicht verstehe bzw. nachvollziehen kann.

Im Moment melde ich mich jetzt der Mac Adresse am Radius Server an und bekomme dann aber vom LDAP das VLAN zugewiesen (Kann mir nicht vorstellen, dass das schonmal jemand so gemacht hat da ich keine einzige Anleitung im Internet dazu gefunden habe und man normalerweise auch das VLAN vom Radius bekommt, da man da auch die MAC Adresse einträgt) Finde diese Möglichkeit aber am besten, da man dann einfach im LDAP einen "Host" mit den 3 VLAN Attributen und der Mac Adresse anlegt und in der radiusd.conf die folgende Zeile anpasst:

filter = "(uid=%{Stripped-User-Name:-%{User-Name}})" umändern in: filter = "(macAddress=%{Stripped-User-Name:-%{User-Name}})"

Das funktioniert jetzt auch! Ich bekomme vor der Windows LDAP Anmeldung an meiner Domäne das gewünschte VLAN aus dem LDAP und kann mich danach anmelden. Ein großer Vorteil ist es hier auch, dass man die Konfiguration vom Radius immer so lassen kann und man nur ins LDAP eingreifen muss.

Wie bekomme ich jetzt da noch meine Zertifikatsauthentifizierung rein??? Jemand eine Idee? Praktische Erfahrungen wird wohl eher keiner haben...aus dem oben genannten Grund! Lasse mich aber auch gerne eines besseren belehren.

Grüße Burge550
Bitte warten ..
Mitglied: burge550
26.10.2010 um 12:52 Uhr
Keiner eine Ahnung oder ne theoretische Idee wie man das vielleicht machen könnte?

Bitte um kurze Kommentare
Bitte warten ..
Mitglied: Snowman5840
07.11.2010 um 17:42 Uhr
Also weiß nicht ob ich das ganz kapiert habe

Du tust dich vor der User Anmeldung per MAC Authentifizieren und bekommst so dann vom LDAP->RADIUS->SWITCH dein VLAN zugewiesen. Und jetzt willst du damit sich der Benutzer nach der Anmeldung per Client Zertifikate am RADIUS Authentifiziert umd z.b. andere Berechtigungen zu bekommen?

Brauchst doch dan nur noch die Zertifikate hinterlegen die du z.b. aufem RADIUS erstellt hast, die entsprechende Autehntifizierung aktivieren und dann sollte es doch funktionieren.

Könntest aber auch ein GAST VLAN anlegen, in welches zuerst alle Rechner kommen, somit dann z.b. nur Zugriff auf deinen LDAP haben um das das Profil laden zu können und nach der Anmeldung mit Clientzertifikate erst richtig Authentifiziert werden und dann in das richtige VLAN verwiesen werden....
Bitte warten ..
Mitglied: burge550
01.12.2010 um 15:25 Uhr
Hallo zusammen.
Sorry aber jetzt will mein Chef nicht mehr Zertifikate haben weil er zur Verwaltung der vielen Zertifikate eine eigene PKI brauchen würde. Er möchte nun die Anmeldung mittels Username Passwort für Clienrechner und mittels MAC-Authentifizierung unsere IP Telefone und Drucker im Radius anmelden.

Problem ist nun, dass ich die Benutzernamen und Passwörter aus dem LDAP raus holen muss. Ich habe nun testweise mein Notebook mit MAC OSX, welches ich authentifizieren möchten (es muss auf MAC OSX funktionieren, weil in unserer Firma ca. 100 MACs stehen). Dort habe ich als 802.1X - Methode MD5 eingestellt. Das selbe habe ich auch in der EAP.conf als Default Methode auf dem Radius Server eingestellt. Wenn ich mich nun anmelden will kommt im Debuggmodus vom Radius:

Cleartext-Passwort is required for EAP-MD5 Authentication.

Wenn ich nun in der LDAP Mapping Datei ldap.attrmap das checkItem User-Passwort nicht auf das LDAP Attribut userPasswort mappe sondern auf ein Attribut-Fenster indem in Klarschrift mein Passwort steht z.B gecos, dann funktioniert alles wunderbar.

Das ist ja aber wohl nicht der Sinn der Sache. Wenn ein Mitarbeiter sein Passwort ändert würde es so nicht übernommen werden und der Admin würde alle Passwörter der Mitarbeiter kennen, weil das Passwort in Klarschrift im LDAP eingetragen werden müsste. Muss ich eine andere Authentifizierungs Methode als MD5 wählen oder woran liegt das, dass der Radius Server nicht mit dem LDAP Attribut userPasswort klar kommt (hier steht das Passwort in einem MD5 Hash drin) obwohl das Mapping eingetragen ist aber immer eine Fehlermeldung bei der Authentifizierung kommt.

Kann mir jemand helfen? Aqui??
Bitte warten ..
Mitglied: burge550
07.12.2010 um 10:13 Uhr
Also die Authentifizierung mittels MAC Addresse und mittels Benutzername Passwort funktioniert jetzt. Ich habe in meinem MAC TTLS mit PAP ausgewählt, da nur PAP mit den Crypted Passwords in einem LDAP Baum umgehen und abgleichen kann. In meiner EAP.conf steht als default type == MD5.

Das Problem ist nun wiederrum ein anderes: Bei der erfolgreichen Authentifizierung mittels MAC bekomme ich das VLAN aus meinem LDAP zugewiesen. Bei der erfolgreichen Authentifizierung mittels TTLS und PAP bekomme ich zwar im Debugg Modus die Meldung, dass als replayItem mein VLAN übermittelt wurde aber ich bekomme keine IP Adresse auf meinem MACOSX. Im AT - Switch kommt als Meldung:

MAC 00:17:f2:d0:59:6a was rejected on port e2 because Radius accept message does not contain VLAN ID

Das verstehe ich aber nicht, da ich bei der Authentifizierung mittels MAC Adresse und bei der Authentifizierung mittels Benutzername/Passwort die gleichen Attribute im LDAP verwende....

Jemand eine Idee??? Bitte um Rückantwort. Bin um jede Nachricht dankbar
Bitte warten ..
Mitglied: burge550
09.12.2010 um 11:38 Uhr
Also kurzes Status Update:

Das oben genannte Problem habe ich gelöst. Ich brauche beim Authentifizieren mit TTLS und PAP in der EAP.conf unter der Rubrik TTLS die Option:

use_tunneled_reply = yes

Nun weiter im Programm... Nachdem ich mich jetzt einwandfrei mit Mac Adresse oder Benutzername/Passwort über TTLS mit PAP authentifizieren kann möchte ich nun die 802.1x Anmeldung bei Radius mit meinem Domänen-Login bei Windows Rechnern und mit der LDAP Anmeldung bei Linux Kisten realisieren. Beim Mac funktioniert auch das schon reibungslos (obwohl ich wirklich kein Apple Fan bin aber das haben sie echt gut hinbekommen)

Weiß jemand von euch wie ich die 802.1X Anmeldung gleichzeitig mit der Anmeldung an meinem PC-Konto (Domäne) hinbekomme?

Liebe Grüße Markus

Und langsam nähert sich das Eichhörnchen
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
Logonscript wird nicht ausgeführt wenn Gerät sich über VPN anmeldet
Frage von wescraven07Windows Netzwerk9 Kommentare

Hallo Forum, ich habe folgende Frage: Ich habe ein Notebook in meiner Domain, das einen VPN-Zugang hat. VPN-Einwahl und ...

Windows 10
Win10 Client kann sich nicht anmeldet wenn DC Offline
Frage von dafdagWindows 105 Kommentare

Hallo zusammen, ich habe das Problem dass sich die Windows 10 Clients nicht mehr mit einem Domänen-Benutzer anmelden lassen ...

Batch & Shell
Powershell-Script, das sich auf Website anmeldet und dann eine andere speichert
gelöst Frage von Der-PhilBatch & Shell7 Kommentare

Hallo! Ich müsste einen "Energielogger" automatisch auslesen und monitoren. Das Gerät (Chauvin Arnoux Ulyscom Ethernet) hat nur einen Webserver ...

Windows Server
Hyper-V Prozessor Zuweisung
Frage von manu90Windows Server5 Kommentare

hi zusammen, ich habe einen Xeon E5-2620v3 Prozi. mit 64 GB Ram ich habe gelesen der Host sollte davon ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 6 StundenApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 11 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 12 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 23 StundenInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless19 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Windows Server
Remotesteuerung der Sitzung (Kennung XX) fehlgeschlagen
gelöst Frage von Stefan91Windows Server14 Kommentare

Hallo Zusammen, seit kurzem bekomme ich oben genannte Fehlermeldung, wenn ich versuche eine Remotesitzung über den Taskmanager fernzusteuern (Rechtsklick ...