Buch erstellen
 Diese Seite zum Buch hinzufügen
Buch erstellen
 Diese Seite aus Buch entfernen  

 Buch anzeigen, ändern(0 Seite/n)
 Hilfe

Dies ist eine alte Version des Dokuments!

Radius Macadressenkontrolle für WLAN über LDAPauth mit Fortinet Accesspoints

In diesem HowTo beschreibe ich wie man zusätzlich zur WLAN WPA2/3 Enterprise Auth. mit UCS (Univention) LDAP auch eine Macadressenkontrolle mit Radius umsetzen kann. Als Accesspoints verwenden wir hier FortiAP's. Das ganze hat den Vorteil das man mit Radius noch eine weiter Sicherheitsschicht einführt. Somit muss der Client am LDAP mit einem Computerkonto eingetragen sein. Ist er das nicht, ist trotz richtigen Authentifizierungsdaten kein Login am WLAN möglich.

Folgende OS Versionen wurden eingesetzt:
4.4-8 errata1019
FortiOS v7.0.1
ForitAP v7.0.1

Konfiguration

Voraussetzung ist hier das man sich bereits erfolgreich am WLAN mit WPA2/3 Enterprise anmelden kann, wenn man in einer ausgewählten LDAP-Gruppe des UCS-System Mitglied ist.

WLAN Fortinet

Um nun die MAC-Kontrolle für eine SSID zu aktivieren, geht man folgender Maßen for: 

config wireless-controller vap
    edit "mywlanssid"
        set ssid "mywlanssid"
     +  set mac-username-delimiter colon
     +  set mac-password-delimiter colon
        set security wpa2-only-enterprise
        set pmf enable
     +  set radius-mac-auth enable
     +  set radius-mac-auth-server "UCS-Radius"
        set auth usergroup
        set local-bridging enable
        set usergroup "wifi-wlan"
        set schedule "always"
        set vlanid 44
    next
end

Essentiell sind die Zeilen mit dem „+“. Der Name des auth-server kann natürlich abweichen.

Konfiguration Univention UCS

Hierfür sind einige Dinge zu beachten. Zum einen muß die Funktion für die Macadressenkontrolle aktiviert werden: 

usr set radius/mac/whitelisting=true

Weiters muss ein Filter im LDAP Modul von Radius verändert werden: 

nano /etc/univention/templates/files/etc/freeradius/3.0/mods-available/ldap

- filter = "(uid=%{mschap:User-Name:-%{User-Name}})"
+ filter = "(|(uid=%{mschap:User-Name:-%{User-Name}})(macAddress=%{mschap:User-Name:-%{User-Name}}))"

Danach den Radius neu starten: 

service freeradius restart

Zu guter letzt ist es noch wichtig für die Konten den Gerätetyp „Linux“ zu verwenden. Die WLANclients benötigen einen vollwertigen Computeraccount. Unter „Allgemein“ muss Rechnername, MAC Adresse und IP angegeben werden. Unter „Radius“ ein Hakerl bei Netzwerkzugriff erlaubt setzen.

Danach muss man unter „Erweiterte Einstellungen“ → Konto, das Gerätepasswort eintragen. Dies ist die MAC-Adresse des Gerätes in Großbuchstaben.
24-EF-BA-96-D2-03 → Falsch
24:ef:ba:96:d2:03 → Falsch
24:EF:BA:96:D2:03 → Richtig

Und schon ist die Macadressenkontrolle aktiv.