Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

ClearOS 5.2 Freeradius 2 LDAP ntlm auth Active Directory

Anleitung Linux Linux Netzwerk

Mitglied: russianbear

russianbear (Level 1) - Jetzt verbinden

23.12.2012, aktualisiert 05.03.2013, 8503 Aufrufe, 3 Kommentare, 3 Danke

Da ich ein großer Fan von ClearOS bin, habe ich mir zum Ziel gesetzt den Freeradiusserver mit AD-Authentifizierung unter CleaorOs zum Laufen zu bringen.

Voraussetzungen: AD-Windowsserver(2003 oder 2008), ClearOS 5.2 komplett mit allen Paketen(SAMBA...), Access Point
Beispiel-AD-Windowsserver IP: 10.10.1.1 Domäne: kgb.local FQDN: venus.kgb.local
Beispiel-ClearOs IP(LAN-Schnittstelle): 10.10.1.2
Access Point IP: 10.10.1.3 SSID: radius Radius-port:1812
Radius-Secret: testing123 (nicht ändern, weil mit den Dateien verknüpft ist, die hier nicht erwähnt wurden)

26738c3d9d82e29bbcf7a2223706b985 - Klicke auf das Bild, um es zu vergrößern

1. ClearOS Update und Freeradius installieren- an der Konsole als Root folgende Befehle ausführen

yum update
yum --enablerepo=base-plus install app-freeradius
service syswatch restart
yum install mc

2. ClearOS Linux in die Windows-Domäne bringen(folgende Dateien sollen angepasst sein)

https://10.10.1.2:81

fcbc6a9280951613e3c988dd29619795 - Klicke auf das Bild, um es zu vergrößern

mcedit /etc/krb5.conf
01.
[logging] 
02.
 default = FILE:/var/log/krb5libs.log 
03.
 kdc = FILE:/var/log/krb5kdc.log 
04.
 admin_server = FILE:/var/log/kadmind.log 
05.
 
06.
[libdefaults] 
07.
 default_realm = VENUS.KGB.LOCAL 
08.
 dns_lookup_realm = false 
09.
 dns_lookup_kdc = false 
10.
 ticket_lifetime = 24h 
11.
 
12.
[realms] 
13.
VENUS.KGB.LOCAL = { 
14.
    kdc = venus.kgb.local:88 
15.
    admin_server = venus.kgb.local:749 
16.
    default_domain = venus.kgb.local 
17.
18.
 
19.
[domain_realm] 
20.
.venus.kgb.local = VENUS.KGB.LOCAL 
21.
venus.kgb.local = VENUS.KGB.LOCAL 
22.
 
23.
[appdefaults] 
24.
 pam = { 
25.
   debug = false 
26.
   ticket_lifetime = 36000 
27.
   renew_lifetime = 36000 
28.
   forwardable = true 
29.
   krb4_convert = false 
30.
 }
touch /etc/pam_smb.conf
mcedit /etc/pam_smb.conf
01.
KGB.LOCAL 
02.
VENUS
mcedit /etc/hosts
01.
8.8.8.8  google-public-dns-a.google.com google-public-dns-a 
02.
8.8.4.4  google-public-dns-b.google.com google-public-dns-b 
03.
10.10.1.1  venus.kgb.local venus
mcedit /etc/nsswitch.conf
01.
#group:     db files nisplus nis 
02.
passwd:     files winbind 
03.
shadow:     files winbind 
04.
group:      files winbind 
05.
#hosts:     db files nisplus nis dns
mcedit /etc/resolv.conf
01.
nameserver venus.kgb.local  
02.
nameserver 8.8.8.8
ping venus #der Server muss anpingbar sein
mcedit /etc/samba/smb.conf
01.
[global] 
02.
#netbios name = ClearOS 
03.
workgroup = kgb 
04.
hosts allow = 10.10.1.0/24 
05.
#server string = ClearOS Enterprise 
06.
idmap uid = 10000-20000 
07.
idmap gid = 10000-20000 
08.
winbind enum users = yes 
09.
#winbind gid = 10000-20000 
10.
winbind enum groups = yes 
11.
winbind use default domain = yes 
12.
#preferred master = yes 
13.
winbind separator = + 
14.
username map = /etc/samba/smbusers 
15.
template shell = /bin/false 
16.
printing = cups 
17.
cups options = raw 
18.
#max log size = 50	 
19.
os level = 1 
20.
password server = venus.kgb.local 
21.
realm = KGB.LOCAL 
22.
#dns proxy = no 
23.
#encrypt passwords = yes 
24.
#allow trusted domains = yes 
25.
# Logging 
26.
#syslog = 0 
27.
#log level = 1 
28.
log file = /var/log/samba/%L-%m 
29.
max log size = 50 
30.
#utmp = Yes 
31.
 
32.
#Network 
33.
bind interfaces only = yes 
34.
interfaces = lo eth2 eth1  
35.
smb ports = 139 
36.
 
37.
#Printing 
38.
#printcap name = /etc/printcap 
39.
#load printers = Yes 
40.
 
41.
#Security settings---geandert security user 
42.
security = ads 
43.
map to guest = Bad User 
44.
#guest account = guest 
45.
#restrict anonymous = 2 
46.
 
47.
#WINS 
48.
wins support = No 
49.
wins server =  
50.
 
51.
#PDC 
52.
#domain logons = Yes 
53.
#add machine script = /usr/sbin/samba-add-machine "%u" 
54.
#logon drive = U: 
55.
#logon script = logon.cmd 
56.
#logon path =  
57.
#logon home = \\%L\%U 
58.
 
59.
#Other 
60.
#preferred master = Yes 
61.
#domain master = Yes 
62.
#unix password sync = Yes 
63.
#passwd program = /usr/sbin/userpasswd %u 
64.
#passwd chat = *password:* %n\n *password:* %n\n *successfully.* 
65.
#username map = /etc/samba/smbusers 
66.
#wide links = No 
67.
 
68.
#LDAP 
69.
#include = /etc/samba/smb.ldap.conf 
70.
 
71.
#Winbind 
72.
#include = /etc/samba/smb.winbind.conf 
73.
 
74.
#============================ Share Definitions ============================== 
75.
 
76.
#include = /etc/samba/flexshare.conf 
77.
 
78.
[homes] 
79.
	comment = Home Directories 
80.
	path = /home/%U 
81.
	valid users = %D\%S 
82.
	read only = No 
83.
	browseable = No 
84.
	available = No 
85.
 
86.
[printers] 
87.
	comment = Print Spool 
88.
	path = /var/spool/samba 
89.
	printing = cups 
90.
	cups options = raw 
91.
	use client driver = Yes 
92.
	printable = Yes 
93.
	read only = No 
94.
	browseable = No 
95.
	available = No 
96.
 
97.
[print$] 
98.
	comment = Printer Drivers 
99.
	path = /var/samba/drivers 
100.
	read only = No 
101.
	browseable = No 
102.
	available = No 
103.
 
104.
[netlogon] 
105.
	comment = Network Logon Service 
106.
	path = /var/samba/netlogon 
107.
	read only = No 
108.
	locking = No 
109.
	browseable = No 
110.
	available = Yes 
111.
 
112.
[profiles] 
113.
	comment = Profile Share 
114.
	path = /var/samba/profiles 
115.
	read only = No 
116.
	profile acls = Yes 
117.
	browseable = No 
118.
	available = No 
119.
	force group = domain_users 
120.
	force directory mode = 02775 
121.
	force directory security mode = 02775
an der Konsole folgende Befehle ausführen
service smb restart
service winbind restart
net ads join -S venus -U Administrator
password: (Pass des Admins)
wbinfo -u #wenn alles ok ist, wird die Liste der AD-Benutzer aufgelistet

3. Freeradius konfiguration

mcedit /etc/raddb/radiusd.conf
01.
listen { 
02.
	........... 
03.
        ........... 
04.
	type = auth 
05.
        ipaddr = 10.10.1.2 
06.
        port = 1812 
07.
        interface = eth2 #(hier die Schnittstelle der aktiven LAN-Verbindung) 
08.
        .......... 
09.
        .......... 
10.
}
touch /etc/raddb/modules/ntlm_auth
mcedit /etc/raddb/modules/ntlm_auth
01.
exec ntlm_auth { 
02.
    wait = yes 
03.
    #Wichtig!!! diese Zeile ohne Umbruch!!! 
04.
    program = "/usr/bin/ntlm_auth --request-nt-key --domain=KGB --username=%{mschap:User-Name} --password=%{User-Password}" 
05.
    input_pairs = "request" 
06.
    shell_escape = yes 
07.
}
mcedit /etc/raddb/modules/mschap
01.
mschap { 
02.
        ...... 
03.
        ...... 
04.
        use_mppe = yes 
05.
        require_encryption = no 
06.
        require_strong = no 
07.
        with_ntdomain_hack = yes 
08.
        #Wichtig!!! diese Zeile ohne Umbruch!!! 
09.
	ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --username=%{mschap:User-Name:-None} --domain=%{%{mschap:NT-Domain}:-KGB} --challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:-00}" 
10.
}
unter /etc/raddb/sites-enabled alle 3 Dateien (Default,inner-tunnel,clearos-inner-tunnel) gleichermaßen anpassen.
01.
authorize { 
02.
	......... 
03.
        ......... 
04.
        #ldap auskommentieren 
05.
        ldap 
06.
        ......... 
07.
        ........ 
08.
}
01.
authenticate { 
02.
        ......... 
03.
        ......... 
04.
        #ntlm_auth hinzufuegen 
05.
	eap 
06.
	ntlm_auth  
07.
	......... 
08.
        ......... 
09.
}
mcedit /etc/raddb/modules/ldap
01.
ldap { 
02.
	server = "10.10.1.1" 
03.
	identity = "cn=Administrator,cn=users,dc=kgb,dc=local" 
04.
	password = (Passwort des Admins) 
05.
	basedn = "cn=users,dc=kgb,dc=local" 
06.
	filter = "(&(sAMAccountName=%{Stripped-User-Name:-%{User-Name}}))" 
07.
	ldap_connections_number = 5 
08.
	timeout = 20 
09.
	timelimit = 10  
10.
	net_timeout = 5 
11.
	tls { 
12.
		start_tls = no 
13.
14.
	dictionary_mapping = ${confdir}/ldap.attrmap 
15.
	edir_account_policy_check = no 
16.
	groupname_attribute = cn 
17.
        #Wichtig!!! diese Zeile ohne Umbruch!!! 
18.
	groupmembership_filter = "(|(&(objectClass=group)(member=%Ldap-UserDn}))(&(objectClass=top)(uniquemember=%{Ldap-UserDn})))" 
19.
	groupmembership_attribute = memberOf 
20.
}
service radiusd restart

4. Rechte setzen

/var/lib/samba setfacl -m u:radiusd:rx winbindd_privileged
mit dem folgenden Befehl kann man die Verbindung zu AD testen (radius ist ein Testuser im AD)
ntlm_auth --domain=kgb.local --request-nt-key --username=radius

5. Die Dateien /etc/raddb/clearos-users /etc/raddb/users gleichermaßen anpassen

mcedit /etc/raddb/clearos-users
01.
#DEFAULT LDAP-Group != "users", Auth-Type := Reject (einkommentieren) 
02.
DEFAULT	Auth-Type = ntlm_auth

6. Access Point eintragen

hier sind alle Access Points einzutragen.
in der Rubrik group alluser darf man nicht auf den Button "ausführen" klicken, sonst wird die Zeile DEFAULT LDAP-Group != "users", Auth-Type := Reject wieder auskommentiert.
21f78f7bbf2619934dad795c99188c1b - Klicke auf das Bild, um es zu vergrößern

7. radiusd -X (testen des Servers - Debugging mode)


8. Windows 7 Client einrichten.


2c8078775278e28ead4cb9eeab127758 - Klicke auf das Bild, um es zu vergrößern
3ea0876b75250e52ad47a4b9bbfb74a1 - Klicke auf das Bild, um es zu vergrößern
33e70f07f234f3ac624fa8322525403c - Klicke auf das Bild, um es zu vergrößern
6754b6469024daf0bc236b8de0010e4c - Klicke auf das Bild, um es zu vergrößern
b5b1b1238162a82dd0b6bfbc7abd290f - Klicke auf das Bild, um es zu vergrößern
c11ad47b844a7fab9d836a97557088de - Klicke auf das Bild, um es zu vergrößern
0fce6a2744467941ad9a97fb8db9059c - Klicke auf das Bild, um es zu vergrößern
7fec56bbf32eb78705c308b03f032b2d - Klicke auf das Bild, um es zu vergrößern
1105b1049cdb9b4e1c26a81f78e095fe - Klicke auf das Bild, um es zu vergrößern
72d82f5c072e4339840f7312992bfb10 - Klicke auf das Bild, um es zu vergrößern

Es erscheint das Fenster zur Eingabe des Benutzernamens und des Passworts.

9. Sonderfall Iphone & CO und Freeradius


Für die Nutzung von Iphone ist ein Profil erforderlich, das verschiedene
Einstellungen in einem Block zusammenfasst.
das Profil kann anhand des Programms "Iphone Konfigurationprogramm" erstellt werden.
dieses Programm ist kostenfrei unter der Adresse https://www.apple.com/de/support/iphone/enterprise/ herunterzuladen.
für das Wlan-Profil sollen zwei Rubriken(Allgemein und WLAN) angepasst werden.
718997d8acf0ec78a0d93dfbc8120716 - Klicke auf das Bild, um es zu vergrößern
anschließend soll das Profil mit dem Safari-Browser auf dem Iphone installiert werden.
Mitglied: wiesi200
23.12.2012 um 16:04 Uhr
Hallo,

grundsätzlich mal eine lobende Idee.
Jetzt kommt leider das große "ABER".
Bitte mach eine Saubere Formatierung, verwende Code Tags und schreib etwas mehr Anleitung warum du was machst.
Von so Sachen wie Inhaltsverzeichnis will ich noch gar nicht reden.

Paradebeispiele gibt's u.a. von Aqui
http://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...
Bitte warten ..
Mitglied: Dobby
23.12.2012 um 19:46 Uhr
Hallo russianbear,

das selbe wie wiesi200, das kannst Du doch wirklich besser, wenn ich mir das so anschaue.
Aber um Längen. Trotzdem danke für die Anleitung, das ist bestimmt mal was, was man sich ab und an anschauen wird.
Kann man damit nicht rein theoretisch die WLAN Klienten mit Radius absichern und die Kabel gebundenen Klienten
via LDAP oder habe ich da was falsch in den Hals bekommen.

Gruß
Dobby
Bitte warten ..
Mitglied: russianbear
23.12.2012 um 22:50 Uhr
Hi Dobby!,

das kann für den Open-VPN oder Squid(Proxy Server) sinnvoll sein.

Gruß und Frohes Fest!!
russianbear
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Linux
LDAP Auth aus DMZ (16)

Frage von xoxyss zum Thema Linux ...

Netzwerkprotokolle
FTPS - Auth TLS - 502 Command not implemented (1)

Frage von PronMaster zum Thema Netzwerkprotokolle ...

Outlook & Mail
gelöst LDAP Anfrage um E-mail auszulesen (6)

Frage von Jallio zum Thema Outlook & Mail ...

SAN, NAS, DAS
Synology: LDAP Server mit lokalen Usern Synchronisieren (3)

Frage von D46505Pl zum Thema SAN, NAS, DAS ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...