Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Dynamische VLAN-Zuweisung mit FreeRADIUS und Active Directory

Anleitung Netzwerke LAN, WAN, Wireless

Mitglied: strolchiii

strolchiii (Level 1) - Jetzt verbinden

18.10.2009, aktualisiert 18.10.2012, 24050 Aufrufe, 17 Kommentare, 1 Danke

"[...] Die Aufgabenstellung unserer Diplomarbeit war, ein sicheres und zuverlässiges Funknetzwerk für unsere Schule zu realisieren.
Die Anbindung von Netzwerk-Clients über Funk-Vernetzung (WLAN) bietet gegenüber der Kabel-Anbindung gerade beim Einsatz von Notebooks in Schulen große Vorteile: Die lästigen Netzwerkkabel fallen weg, die Sitzordnung in der Klasse ist wesentlich flexibler. Wenn die Funkvernetzung im ganzen Schulgebäude verfügbar ist, steht diese flexible Netzanbindung sowohl den Schülern als auch den Lehrern zur Verfügung. Ein weiterer Punkt betrifft die Sicherheit des Netzwerkes. Durch die Umstellung des vorhandenen Netzwerkes im vorherigen Schuljahr wurden die technischen Voraussetzungen für eine zuverlässige und sichere Funk-LAN-Verbindung geschaffen. Durch den neuen WLAN Standard 802.11n und die WPA-Verschlüsselung kann eine zukunftssichere Lösung realisiert werden. Der Zugriff auf das Netzwerk wird über das Authentifizierungsverfahren 802.1X in Verbindung mit einem FreeRADIUS Server geregelt. Zudem werden die Benutzergruppen durch verschiedene virtuelle Netzwerke (VLAN) getrennt, um zusätzliche Sicherheit zu schaffen. Das Endziel ist es, ein Funk-Netzwerk zu schaffen, auf das flächendeckend vom gesamten Schulgelände aus auf möglichst sichere Art und Weise zugegriffen werden kann [...]"

So lautete die geforderte Aufgabenstellen bei unserer Diplomarbeit. Was dabei herausgekommen ist, könnt ihr in unserer Projektdokumentation begutachten.
Bei Fragen stehe ich gerne zur Verfügung!

gruß
felix

EDITH (siehe auch unten):

Der Bereich der Dokumentation in dem beschrieben steht wie den einzelnen Gruppen ein entsprechendes VLAN zugewiesen wird durften wir aufgrund von sicherheitstechnischen Gründen nicht veröffentlicht werden. Wenn ich mich allerdings noch recht erinnere geschah das ganze über folgende Konfiguration in der FreeRADIUS Konfigurationsdatei:

DEFAULT Ldap-Group == "enabled", Auth-Type := LDAP  
 
   Tunnel-Medium-Type = IEEE-802,  
   Tunnel-Type = VLAN,  
   Tunnel-Private-Group-Id = "3" 
Ich hoffe das hilft.
Mitglied: dog
18.10.2009 um 18:47 Uhr
Vielleicht liegt es daran, dass ich es nur überflogen habe, aber...
wo wird denn erklärt, wie der RADIUS-Server die Benutzer den VLANs zuordnet?

Grüße

Max
Bitte warten ..
Mitglied: aqui
19.10.2009, aktualisiert 18.10.2012
Sieht so aus als ob genau das nicht passiert ist (wäre sinnvoll gewesen). Scheinbar gibt es nur eine statische Zuweisung SSID zu VLAN (Seite 224).
Schade...da hätte man etwas mehr rausholen können bei der ansonsten sehr gut gemachten Doku ! Hätte auch den Aufwand der AP Konfig verringert...
Das es geht mit der dynamischen VLAN Zuweisung im Freeradius sieht man ja hier:
http://www.administrator.de/forum/dynamisches-vlan-bei-freeradius-mit-a ...
http://www.administrator.de/forum/dynamisches-vlan-%c3%bcber-wlan-mit-f ...
http://www.administrator.de/forum/fragen-zu-nas%2c-radius-und-verschied ...
Bitte warten ..
Mitglied: VooDoo4711
22.10.2009 um 14:02 Uhr
Hallo zusammen,

jetzt komm ich hier auch mal zu meinem ersten Posting

In den Anleitungen hier findet man leider immer nur, wie man das mit lokal auf dem Radius angelegten Nutzern macht.

Ich hab meine Nutzer im AD, HP ProCurve Switche, nen FreeRadius und Windows-/Linux-Maschinen.
Ziel ist es, dass wenn sich ein User anmeldet, oder sein Notebook einsteckt (später evtl auch via WLAN), dass er sich dann anmeldeet und der Radius Server ihn am AD authentifiziert und dann auch noch die zu seinem Account/seiner Gruppe gehörige VLAN-ID zurück gibt, die ihm dann der ProCuve Switch auflegt.

(Wie) geht das?

Vielen Dank schon mal!

Grüße,
Sven.
Bitte warten ..
Mitglied: aqui
22.10.2009, aktualisiert 18.10.2012
Freeradius Server per LDAP ans AD hängen. Wie das geht steht hier:

http://www.air09.net/air09_dokumentation.pdf

Oder gleich den IAS mit auf den AD installieren, wenns ohne FreeRadius gehen soll.
Dann Freeradius ala:
http://www.administrator.de/forum/dynamisches-vlan-bei-freeradius-mit-a ...
konfigurieren...fertich.
Gibt bei HP und anderen Switch Herstellern entsprechnde Whitepapers dazu...oder Dr. Google !
Bitte warten ..
Mitglied: spacyfreak
14.11.2009 um 20:42 Uhr
Warum man FreeRadius nehmen sollte, wenn man doch User aus dem Active Directory authentifizieren will erschliesst sich mir nicht wirklich.

Klar ist FreeRadius ein klasse Gratis-Radius, verwend ich auch gern.
Doch mit IAS von Mikrosaft ist der Radius in gefühlten 5 Minuten fertig konfiguriert, kann auch direkt mit drei Klicks risikolos auf dem Domaincontroller oder irgendnem Memberserver der eh in der Gegend rumsteht installiert werden ohne dass man extra ne Hardware oder VM dafür braucht, und man kann sich viel schneller wieder spannenderen Themen widmen, z. B. dem Popeln in der Nase.
Return Attribute kann man mit dem IAS reinkloppen in den RAS-Policy Einstellungen ... Profil... Advanced. Zack bumm fertig, läuft.
Bitte warten ..
Mitglied: Wyerli
19.11.2009 um 11:15 Uhr
Hast du mir vileicht Infos für das einrichten von IAS und ist das nicht neu auf 2008 NAP?
Wir verwende eben nur noch 2008 Enterprise...
Bitte warten ..
Mitglied: spacyfreak
20.11.2009 um 16:10 Uhr
Ja kannst doch auch auf nem 2008er Windows Server IAS installieren (nicht zu verwechseln mit ISA oder IIS..) IAS = Internet Authentication Service = Radius in "mikrosaft-sprache"
Bitte warten ..
Mitglied: mavrix
13.12.2009 um 21:55 Uhr
Hallo,

leider geht der Link nicht, hätte mir gerne mal die Doku angesehen.
Vg
Markus
Bitte warten ..
Mitglied: gschelbe
04.01.2010 um 11:23 Uhr
Hallo.

Bevor es noch mehr Verwirrung gibt:

Unter Windows Server 2008 heisst der IAS jetzt NPS (Network Policy Service) und hat, zusätzlich zu den Radius-Funktionen noch Zusatzfunktionen für Microsofts Network Access Protection (NAP) dazugelernt.

Gruß

Gerd
Bitte warten ..
Mitglied: strolchiii
20.01.2010 um 20:33 Uhr
Die Doku ist wieder verfügbar.
Bitte warten ..
Mitglied: aqui
22.12.2010 um 12:27 Uhr
Die Doku Webseite ist tot. Aktuell ist die sonst gut gemachte Doku hier zu finden:
http://fhost1.no-ip.info/air09_dokumentation.pdf
Bitte warten ..
Mitglied: strolchiii
22.12.2010 um 13:53 Uhr
Hallo!

Der Bereich der Dokumentation in dem beschrieben steht wie den einzelnen Gruppen ein entsprechendes VLAN zugewiesen wird durften wir aufgrund von sicherheitstechnischen Gründen nicht veröffentlicht werden. Wenn ich mich allerdings noch recht erinnere geschah das ganze über folgende Konfiguration in der FreeRADIUS Konfigurationsdatei:

DEFAULT Ldap-Group == "enabled", Auth-Type := LDAP  
 
   Tunnel-Medium-Type = IEEE-802,  
   Tunnel-Type = VLAN,  
   Tunnel-Private-Group-Id = "3" 
Ich hoffe das hilft.

Die Doku steht übrigens wieder unter diesem Link zur Verfügung.

Gruß
felix
Bitte warten ..
Mitglied: aqui
07.01.2011, aktualisiert 18.10.2012
Ist sonst auch im 802.1x Tutorial hier nochmal beschrieben:
http://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802.1x ...
Bitte warten ..
Mitglied: paddix
27.07.2011 um 12:36 Uhr
Hallo liebe Administrator-Community!

Die Doku ist leider wieder down. Hat sie vllt noch Jemand und könnte sie irgendwo uppen, oder mir bitte per Mail schicken?

Vielen Dank
Bitte warten ..
Mitglied: strolchiii
27.07.2011 um 12:54 Uhr
And we're back again. (-:
Bitte warten ..
Mitglied: paddix
27.07.2011 um 13:24 Uhr
Lichtgeschwindigkeit! Besten Dank!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst Active Directory CA öffentlich vertrauenswürdig machen, geht das? (2)

Frage von DeathangelCH zum Thema Windows Server ...

Windows Server
gelöst Active Directory File Extension - Associated Program (11)

Frage von adm2015 zum Thema Windows Server ...

Windows 8
gelöst Active Directory Default User.v2 Profile - Windows 8.1 Apps Error (4)

Frage von adm2015 zum Thema Windows 8 ...

Windows Server
Active Directory sinnvoll für kleine Firma (15)

Frage von WolfPeano zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...