Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.
Nächste Überarbeitung | Vorherige Überarbeitung Nächste ÜberarbeitungBeide Seiten, nächste Überarbeitung | ||
prebuilt_systems:ucs:radius_macadressenkontrolle_fuer_wlan_ueber_ldapauth_mit_fortinet_accesspoints [2021/07/31 00:09] – angelegt loma | prebuilt_systems:ucs:radius_macadressenkontrolle_fuer_wlan_ueber_ldapauth_mit_fortinet_accesspoints [2022/07/25 20:57] – loma | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== Radius Macadressenkontrolle für WLAN über LDAPauth mit Fortinet Accesspoints ====== | + | ====== Radius Macadressenkontrolle für WLAN über LDAPauth |
+ | Du möchtest dich gerne für unsere Hilfe erkenntlich zeigen 8-o. Gerne. Wir bedanken uns bei dir für deine Spende! LOL \\ | ||
+ | [[https:// | ||
+ | \\ | ||
+ | Hauseigenes Apt-Repo: [[https:// | ||
+ | \\ | ||
+ | GITLAB Enterprise: [[https:// | ||
+ | \\ | ||
+ | \\ | ||
+ | In diesem HowTo beschreibe ich wie man zusätzlich zur WLAN WPA2/3 Enterprise Auth. mit UCS (Univention) LDAP auch eine Macadressenkontrolle mit Radius umsetzen kann. Als Accesspoints verwenden wir hier FortiAP' | ||
+ | __Folgende OS Versionen wurden eingesetzt: | ||
+ | 4.4-8 errata1019 \\ | ||
+ | FortiOS v7.0.1 \\ | ||
+ | ForitAP v7.0.1 \\ | ||
+ | |||
+ | ===== Konfiguration ===== | ||
+ | Voraussetzung ist hier das man sich bereits erfolgreich am WLAN mit WPA2/3 Enterprise anmelden kann, wenn man in einer ausgewählten LDAP-Gruppe des UCS-System Mitglied ist. | ||
+ | |||
+ | ==== WLAN Fortinet ==== | ||
+ | Um nun die MAC-Kontrolle für eine SSID zu aktivieren, geht man folgender Maßen for: | ||
+ | < | ||
+ | config wireless-controller vap | ||
+ | edit " | ||
+ | set ssid " | ||
+ | | ||
+ | | ||
+ | set security wpa2-only-enterprise | ||
+ | set pmf enable | ||
+ | | ||
+ | | ||
+ | set auth usergroup | ||
+ | set local-bridging enable | ||
+ | set usergroup " | ||
+ | set schedule " | ||
+ | set vlanid 44 | ||
+ | next | ||
+ | end | ||
+ | </ | ||
+ | Essentiell sind die Zeilen mit dem " | ||
+ | |||
+ | ==== Konfiguration Univention UCS ==== | ||
+ | Hierfür sind einige Dinge zu beachten. Zum einen muß die Funktion für die Macadressenkontrolle aktiviert werden: | ||
+ | usr set radius/ | ||
+ | Weiters muss ein Filter im LDAP Modul von Radius verändert werden. Vorher legen wir noch kurz ein Backup der Dateien an: | ||
+ | < | ||
+ | cp / | ||
+ | cp / | ||
+ | </ | ||
+ | Nun die Änderungen durchführen: | ||
+ | < | ||
+ | nano / | ||
+ | |||
+ | @!@ | ||
+ | auth_type = configRegistry.get(' | ||
+ | if auth_type and ' | ||
+ | #else: | ||
+ | # | ||
+ | #print ' | ||
+ | @!@ | ||
+ | filter = " | ||
+ | </ | ||
+ | Nun noch die Änderungen in die Konfiguration übernehmen und den Radius neu starten. | ||
+ | Danach den Radius neu starten: | ||
+ | ucr commit / | ||
+ | Die Änderungen müssen natürlich auf allen Radiusservern im Netzwerk durchgeführt werden. | ||
+ | |||
+ | Zu guter letzt ist es noch wichtig für die Konten den Gerätetyp " | ||
+ | |||
+ | Danach muss man unter " | ||
+ | 24-EF-BA-96-D2-03 -> <color # | ||
+ | 24: | ||
+ | 24: | ||
+ | |||
+ | Und schon ist die Macadressenkontrolle aktiv. | ||
+ | |||
+ | === Clientfalle === | ||
+ | Ändert man das Device/ | ||
+ | |||
+ | ==== Radius Debug ==== | ||
+ | |||
+ | Wichtig ist hier zu erwähnen das dies je nach Router/WLAN das man verwendet etwas anders sein kann. Um zu erfahren welches Passwort der Client nun wirklich mitsendet. Stoppt man Radius und startet ihn im Debugmode neu: | ||
+ | < | ||
+ | service freeradius stop | ||
+ | freeradius -X | ||
+ | </ | ||
+ | Nun lässt man einen Client per WLAN verbinden. Sämtliche Anfragen und Logs sieht man nun live in dieser Ausgabe, auch welches Passwort vom Client mit gesendet wird. | ||
+ | |||
+ | UCS 4.4 kommt mit einer verbesserten Fehlersuche. Mit dem Kommandozeilentool '' | ||
+ | Die RADIUS-App protokolliert die Ereignisse und schreibt sie in die Logdatei ''/ |