Hallo Reiner,
Reiner Klaproth klaproth@online.de (Do 26 Aug 2010 05:43:21 CEST): (…)
Wie oft sollen sich die Daten ändern? Der Radius kann seine Information aus einer flachen Textfile beziehen, aber auch aus LDAP oder noch komplizierteren Dingen.
Beide Wege sind möglich. Die Nutzerverwaltung und die DHCP-Adressverwaltung liegen bereits auf einem LDAP-Server. Die Einträge für den Radius sind im Grunde statisch. Nachdem alles eingerichtet ist, ändern sich die Daten nur noch sporadisch: Einzelne private Notebooks nachtragen...
Dann würde ich die ersten Versuche nur mit dem Textfile machen, wenn die Infrastruktur geht, kannst Du immer noch über LDAP nachdenken. Vorteile durch den LDAP-Einsatz sehe ich erstmal nicht, es sei denn, Du willst vielleicht MAC-Adressen auch gleich in den Objekten von vorhandenen Nutzern speichern. (Das hätte einen gewissen Charme, denke ich… aber damit würde ich mir Zeit lassen.) Ob LDAP oder Text oder Datenbank ist nur eine Sache des Backends am Radius, und die sind austauschbar und, ich glaube, sogar parallel betreibbar.
Ich weiß nicht, wie weit hier schon was klar ist: wenn Du einfach nur MAC-basierte Authentifizierung machen willst, hat der Notebook selbst mit dem Radius nichts zu tun. Erst die AP sind Radius-Clients im Sinne des Protokolls. Die können z.B. die MAC-Adresse als Nutzername (und oft auch als Passwort) an den Radius-Server schicken (ggf. TLS-gesichert) und sich dann von diesem das OK geben lassen. Auf so einem Radius-Client ist i.d.R. nicht viel zu konfigurieren. Auf dem Radius-Server liegen dann „fake nutzer“, die so heißen wie die MAC-Adressen und Passworte haben, wie die eigene MAC. (So sollte das im Fall des Textfiles sein, bei einem LDAP-Backend, glaube ich, daß Du mit LDAP-Fragen ziemlich freizügig definieren kannst, wie das wo abgelegt ist und was der Radius-Server dann den LDAP fragt, um die richtige Entscheidung treffen zu können.)
Das alles, auch auf die Gefahr, daß ich bekannte Dinge wiedergeben oder möglicherweise auch Quatsch erzähle. Glaube mir nichts.
Das verstehe ich jetzt nicht. Vielleicht wollte er irgendwelches 802.1X machen…
Ich habe das auch nicht verstanden. Es gibt aber solche Optionen
Ich denke, daß Du das getrost weglassen kannst. Natürlich hängt es von Euren Sicherheitsbedürfnissen ab. Aber für 802.1x brauchst Du dann auch entsprechende Konfiguration und Software auf den Clients. Und ob Du diese erhöhte Komplexität brauchst??? MAC-Adressen sind fälschbar, und Gymnasiasten sind nicht dumm.