Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VLAN Zuweisung bevor man sich im System anmeldet

Frage Internet

Mitglied: burge550

burge550 (Level 1) - Jetzt verbinden

07.10.2010 um 15:14 Uhr, 4257 Aufrufe, 9 Kommentare

Ich habe einen Freeradius Server mit SSL Support, LDAP Authetifizierung über TLS Tertifikate und VLAN Zuweisung am laufen.

Soweit so gut. Das funktioniert auch alles wenn ich mich an einem lokalen Benutzerkonto anmelde und mich danach über einen 802.1X Client gegen den Radius authentifiziere, bekomme ich danach mein gewünschtes VLAN zugewiesen und habe ab dann Zugang zum Netz.

Jetzt ist es aber so, dass ich mich über mein LDAP auch noch anmelden will und nicht nur an einem lokalen Benutzerkonto. Das Problem hierbei ist, dass ich ja bevor ich mich gegen den Radius authentifiziere kein Zugang zum LDAP bzw. zu irgendeinem Netz habe und mich somit auch nicht am System anmelden kann. Gibt es eine Möglichkeit, bevor die Benutzeranmeldung erfolgt, schon die 802.1x Authentifizierung durchzuführen damit ich danach Netzzugriff für die Anmeldung über LDAP habe?

Würde mich sehr über Vorschläge freuen.

Grüße
Mitglied: aqui
07.10.2010 um 17:31 Uhr
Das ist auch gar nicht erforderlich !! Der Radius Server muss aber einen LDAP Zugang haben, damit er dich mit deinem LDAP Account authentifizieren kann ! So wird ein Schuh draus !
Wie du FreeRadius in LDAP einbindest sagen dir unzählige Dokumente im Web. Dr. Google ist wie immer dein Freund !
http://www.rrze.uni-erlangen.de/dienste/arbeiten-rechnen/linux/howtos/l ...
http://www.administrator.de/Dynamische_VLAN-Zuweisung_mit_FreeRADIUS_un ...
usw. usw.
Bitte warten ..
Mitglied: burge550
07.10.2010 um 18:05 Uhr
Prima! Die beiden Anleitungen habe ich auch schon bei der Authentifizierung meiner Benutzer mitels Freeradius gelesen! Und das funktioniert auch einwandfrei mit der Konfiguration von:

http://www.rrze.uni-erlangen.de/dienste/arbeiten-rechnen/linux/howtos/l ...

Du scheinst aber mein Problem nicht zu verstehen. Ich will mich am Windows über das LDAP Konto anmelden. Wenn ich aber noch kein VLAN vom Radius bekommen habe, erreiche ich das LDAP nicht. Verstehst du das?

Freundliche Grüße
Burge550
Bitte warten ..
Mitglied: aqui
07.10.2010 um 19:47 Uhr
DU hast es nicht verstanden...sorry. Dreh und Angelpunkt ist doch erstmal der Radius Server. Der .1x Client kann erstmal nur per EaPOL (EAP over LAN) mit dem Switch sprechen. Kein anderes Protokoll !! Der Switch wiederum fragt dann den Radius Server ob der User darf und das kann er dann auch über LDAP machen.
Wenn du einen Domänen Login meinst, dann reicht es sich einmal an der Domäne ohne .1x angemeldet zu haben, dann klappt das weitere LDAP Login auch so.
Ansonsten musst du das Login Zertifikat manuel auf den Client einspielen. Das löst das Problem ! Oder...den IAS zum Authentifizieren verwenden.
Bitte warten ..
Mitglied: burge550
19.10.2010 um 15:45 Uhr
Ich nochmal... sorry ich stehe glaube ich immer noch auf dem Schlauch.

Ich bin jetzt gerade soweit, dass ich die Geschichte mit den Zertifikaten nochmals hinten an gestellt habe, da ich den Kommentar von Aqui nicht verstehe bzw. nachvollziehen kann.

Im Moment melde ich mich jetzt der Mac Adresse am Radius Server an und bekomme dann aber vom LDAP das VLAN zugewiesen (Kann mir nicht vorstellen, dass das schonmal jemand so gemacht hat da ich keine einzige Anleitung im Internet dazu gefunden habe und man normalerweise auch das VLAN vom Radius bekommt, da man da auch die MAC Adresse einträgt) Finde diese Möglichkeit aber am besten, da man dann einfach im LDAP einen "Host" mit den 3 VLAN Attributen und der Mac Adresse anlegt und in der radiusd.conf die folgende Zeile anpasst:

filter = "(uid=%{Stripped-User-Name:-%{User-Name}})" umändern in: filter = "(macAddress=%{Stripped-User-Name:-%{User-Name}})"

Das funktioniert jetzt auch! Ich bekomme vor der Windows LDAP Anmeldung an meiner Domäne das gewünschte VLAN aus dem LDAP und kann mich danach anmelden. Ein großer Vorteil ist es hier auch, dass man die Konfiguration vom Radius immer so lassen kann und man nur ins LDAP eingreifen muss.

Wie bekomme ich jetzt da noch meine Zertifikatsauthentifizierung rein??? Jemand eine Idee? Praktische Erfahrungen wird wohl eher keiner haben...aus dem oben genannten Grund! Lasse mich aber auch gerne eines besseren belehren.

Grüße Burge550
Bitte warten ..
Mitglied: burge550
26.10.2010 um 12:52 Uhr
Keiner eine Ahnung oder ne theoretische Idee wie man das vielleicht machen könnte?

Bitte um kurze Kommentare
Bitte warten ..
Mitglied: Snowman5840
07.11.2010 um 17:42 Uhr
Also weiß nicht ob ich das ganz kapiert habe

Du tust dich vor der User Anmeldung per MAC Authentifizieren und bekommst so dann vom LDAP->RADIUS->SWITCH dein VLAN zugewiesen. Und jetzt willst du damit sich der Benutzer nach der Anmeldung per Client Zertifikate am RADIUS Authentifiziert umd z.b. andere Berechtigungen zu bekommen?

Brauchst doch dan nur noch die Zertifikate hinterlegen die du z.b. aufem RADIUS erstellt hast, die entsprechende Autehntifizierung aktivieren und dann sollte es doch funktionieren.

Könntest aber auch ein GAST VLAN anlegen, in welches zuerst alle Rechner kommen, somit dann z.b. nur Zugriff auf deinen LDAP haben um das das Profil laden zu können und nach der Anmeldung mit Clientzertifikate erst richtig Authentifiziert werden und dann in das richtige VLAN verwiesen werden....
Bitte warten ..
Mitglied: burge550
01.12.2010 um 15:25 Uhr
Hallo zusammen.
Sorry aber jetzt will mein Chef nicht mehr Zertifikate haben weil er zur Verwaltung der vielen Zertifikate eine eigene PKI brauchen würde. Er möchte nun die Anmeldung mittels Username Passwort für Clienrechner und mittels MAC-Authentifizierung unsere IP Telefone und Drucker im Radius anmelden.

Problem ist nun, dass ich die Benutzernamen und Passwörter aus dem LDAP raus holen muss. Ich habe nun testweise mein Notebook mit MAC OSX, welches ich authentifizieren möchten (es muss auf MAC OSX funktionieren, weil in unserer Firma ca. 100 MACs stehen). Dort habe ich als 802.1X - Methode MD5 eingestellt. Das selbe habe ich auch in der EAP.conf als Default Methode auf dem Radius Server eingestellt. Wenn ich mich nun anmelden will kommt im Debuggmodus vom Radius:

Cleartext-Passwort is required for EAP-MD5 Authentication.

Wenn ich nun in der LDAP Mapping Datei ldap.attrmap das checkItem User-Passwort nicht auf das LDAP Attribut userPasswort mappe sondern auf ein Attribut-Fenster indem in Klarschrift mein Passwort steht z.B gecos, dann funktioniert alles wunderbar.

Das ist ja aber wohl nicht der Sinn der Sache. Wenn ein Mitarbeiter sein Passwort ändert würde es so nicht übernommen werden und der Admin würde alle Passwörter der Mitarbeiter kennen, weil das Passwort in Klarschrift im LDAP eingetragen werden müsste. Muss ich eine andere Authentifizierungs Methode als MD5 wählen oder woran liegt das, dass der Radius Server nicht mit dem LDAP Attribut userPasswort klar kommt (hier steht das Passwort in einem MD5 Hash drin) obwohl das Mapping eingetragen ist aber immer eine Fehlermeldung bei der Authentifizierung kommt.

Kann mir jemand helfen? Aqui??
Bitte warten ..
Mitglied: burge550
07.12.2010 um 10:13 Uhr
Also die Authentifizierung mittels MAC Addresse und mittels Benutzername Passwort funktioniert jetzt. Ich habe in meinem MAC TTLS mit PAP ausgewählt, da nur PAP mit den Crypted Passwords in einem LDAP Baum umgehen und abgleichen kann. In meiner EAP.conf steht als default type == MD5.

Das Problem ist nun wiederrum ein anderes: Bei der erfolgreichen Authentifizierung mittels MAC bekomme ich das VLAN aus meinem LDAP zugewiesen. Bei der erfolgreichen Authentifizierung mittels TTLS und PAP bekomme ich zwar im Debugg Modus die Meldung, dass als replayItem mein VLAN übermittelt wurde aber ich bekomme keine IP Adresse auf meinem MACOSX. Im AT - Switch kommt als Meldung:

MAC 00:17:f2:d0:59:6a was rejected on port e2 because Radius accept message does not contain VLAN ID

Das verstehe ich aber nicht, da ich bei der Authentifizierung mittels MAC Adresse und bei der Authentifizierung mittels Benutzername/Passwort die gleichen Attribute im LDAP verwende....

Jemand eine Idee??? Bitte um Rückantwort. Bin um jede Nachricht dankbar
Bitte warten ..
Mitglied: burge550
09.12.2010 um 11:38 Uhr
Also kurzes Status Update:

Das oben genannte Problem habe ich gelöst. Ich brauche beim Authentifizieren mit TTLS und PAP in der EAP.conf unter der Rubrik TTLS die Option:

use_tunneled_reply = yes

Nun weiter im Programm... Nachdem ich mich jetzt einwandfrei mit Mac Adresse oder Benutzername/Passwort über TTLS mit PAP authentifizieren kann möchte ich nun die 802.1x Anmeldung bei Radius mit meinem Domänen-Login bei Windows Rechnern und mit der LDAP Anmeldung bei Linux Kisten realisieren. Beim Mac funktioniert auch das schon reibungslos (obwohl ich wirklich kein Apple Fan bin aber das haben sie echt gut hinbekommen)

Weiß jemand von euch wie ich die 802.1X Anmeldung gleichzeitig mit der Anmeldung an meinem PC-Konto (Domäne) hinbekomme?

Liebe Grüße Markus

Und langsam nähert sich das Eichhörnchen
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Monitoring
System Monitoring für Windows, Linux (5)

Frage von manuelw zum Thema Monitoring ...

Server-Hardware
Lenovo Server System X 3650 M5 Festplatten (9)

Frage von Hendrik2586 zum Thema Server-Hardware ...

Erkennung und -Abwehr
Hackers are holding San Francisco s light-rail system for ransom

Link von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...