Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung		 Vorherige Überarbeitung
Nächste ÜberarbeitungBeide Seiten, nächste Überarbeitung
prebuilt_systems:ucs:radius_macadressenkontrolle_fuer_wlan_ueber_ldapauth_mit_fortinet_accesspoints [2021/08/01 11:35] lomaprebuilt_systems:ucs:radius_macadressenkontrolle_fuer_wlan_ueber_ldapauth_mit_fortinet_accesspoints [2022/07/25 20:57] loma
Zeile 1: Zeile 1:
-====== Radius Macadressenkontrolle für WLAN über LDAPauth mit Fortinet Accesspoints ====== +====== Radius Macadressenkontrolle für WLAN über LDAPauth UCS (Univention) mit Fortinet Accesspoints ====== 
 +Du möchtest dich gerne für unsere Hilfe erkenntlich zeigen 8-o. Gerne. Wir bedanken uns bei dir für deine Spende! LOL \\ 
 +[[https://www.paypal.com/cgi-bin/webscr?cmd=_s-xclick&hosted_button_id=KE592Y5993ZKW|{{:wiki:btn_donatecc_lg.gif|}}]] \\ 
 +\\ 
 +Hauseigenes Apt-Repo: [[https://apt.iteas.at]]    
 +\\ 
 +GITLAB Enterprise: [[https://git.osit.cc|{{:gitlab_logo.png?nolink&60|}}]]  
 +\\ 
 +\\
 In diesem HowTo beschreibe ich wie man zusätzlich zur WLAN WPA2/3 Enterprise Auth. mit UCS (Univention) LDAP auch eine Macadressenkontrolle mit Radius umsetzen kann. Als Accesspoints verwenden wir hier FortiAP's. Das ganze hat den Vorteil das man mit Radius noch eine weiter Sicherheitsschicht einführt. Somit muss der Client am LDAP mit einem Computerkonto eingetragen sein. Ist er das nicht, ist trotz richtigen Authentifizierungsdaten kein Login am WLAN möglich.  In diesem HowTo beschreibe ich wie man zusätzlich zur WLAN WPA2/3 Enterprise Auth. mit UCS (Univention) LDAP auch eine Macadressenkontrolle mit Radius umsetzen kann. Als Accesspoints verwenden wir hier FortiAP's. Das ganze hat den Vorteil das man mit Radius noch eine weiter Sicherheitsschicht einführt. Somit muss der Client am LDAP mit einem Computerkonto eingetragen sein. Ist er das nicht, ist trotz richtigen Authentifizierungsdaten kein Login am WLAN möglich. 
  
Zeile 52: Zeile 59:
 #print '\t\tfilter = "(uid=%%{%s:-%%{User-Name}})"' % filter #print '\t\tfilter = "(uid=%%{%s:-%%{User-Name}})"' % filter
 @!@ @!@
-filter = (|(uid=%{mschap:User-Name:-%{User-Name}})(macAddress=%{mschap:User-Name:-%{User-Name}}))+filter = "(|(uid=%{mschap:User-Name:-%{User-Name}})(macAddress=%{mschap:User-Name:-%{User-Name}}))"
 </code> </code>
 Nun noch die Änderungen in die Konfiguration übernehmen und den Radius neu starten. Nun noch die Änderungen in die Konfiguration übernehmen und den Radius neu starten.
Zeile 67: Zeile 74:
  
 Und schon ist die Macadressenkontrolle aktiv. Und schon ist die Macadressenkontrolle aktiv.
 +
 +=== Clientfalle ===
 +Ändert man das Device/Gerätekontenpasswort in UCS auf die Macadrresse, muss dieses natürlich auch auf dem Client in der sssd.conf nachgetragen werden. Auch ein erneuter Export der Keytab ist erforderlich.
 +
 ==== Radius Debug ==== ==== Radius Debug ====
  
Zeile 76: Zeile 87:
 Nun lässt man einen Client per WLAN verbinden. Sämtliche Anfragen und Logs sieht man nun live in dieser Ausgabe, auch welches Passwort vom Client mit gesendet wird. Nun lässt man einen Client per WLAN verbinden. Sämtliche Anfragen und Logs sieht man nun live in dieser Ausgabe, auch welches Passwort vom Client mit gesendet wird.
  
 +UCS 4.4 kommt mit einer verbesserten Fehlersuche. Mit dem Kommandozeilentool ''univention-radius-check-access'' können Sie aktuelle Zugangsregeln für einen bestimmten Benutzer und/oder eine MAC-Adresse überprüfen. Sie rufen den Befehl als Benutzer root auf dem UCS-Server (in einem Terminalfenster oder auf der Konsole) auf.
 +Die RADIUS-App protokolliert die Ereignisse und schreibt sie in die Logdatei ''/var/log/univention/radius_ntlm_auth.log''. Wie ausführlich die Meldungen sind, legen Sie über die Univention-Configuration-Registry-Variable ''freeradius/auth/helper/ntlm/debug'' fest. Der FreeRADIUS-Server legt ebenfalls seine eigene Logdatei unter ''/var/log/freeradius/radius.log'' an.