Hallo!
Ich möchte in meinem (Schul-) Netzwerk den Radius-Server vom Windows 2008-Server ablösen.
Der Radius-Server ist die Basis für einen WLAN-Controller HP ProCurve MSM-760. Der wiederum managed 16 Access-Points von HP, die im Schulhaus verteilt sind. Über den Radius-Server soll letztlich die Begrenzung der MAC-Adressen erfolgen und vielleicht weitere Access-Dienste.
Leider hat die einrichtende Firma den bereits aufgesetzten Radius-Server vom Windows 2008-Server wieder aufgelöst, so dass ich nur schwer an die Daten des alten Servers komme. Irgendwie meinte der Techniker, dass damit auch die Nutzer-Authentifizierung stattfinden müsste, bevor man an den Domänen-Server kommt.
Nachdem ich durchgesetzt hatte, dass die Nutzer selbst auf einem Linux- Server liegen und nur dort verwaltet werden, haben die alles fallen lassen und mich mit der Baustelle eines Netzes allein gelassen. Wen es interessiert: Die Firma heißt Optinet...
Ich suche daher alle Hilfe, die ich bekommen kann...
Grüße Reiner
(sächsisches Landesgymnasium für Musik Dresden)
Hallo Reiner,
Reiner Klaproth klaproth@online.de (Mi 25 Aug 2010 22:03:03 CEST):
Ich möchte in meinem (Schul-) Netzwerk den Radius-Server vom Windows 2008-Server ablösen.
Der Radius-Server ist die Basis für einen WLAN-Controller HP ProCurve MSM-760. Der wiederum managed 16 Access-Points von HP, die im Schulhaus verteilt sind. Über den Radius-Server soll letztlich die Begrenzung der MAC-Adressen erfolgen und vielleicht weitere Access-Dienste.
Ok. Diese Aufgabe sollte lösbar sein. Du willst als Radius wahrscheinlich freeradius auf einem Linux-Katen dorthin stellen?
Wie oft sollen sich die Daten ändern? Der Radius kann seine Information aus einer flachen Textfile beziehen, aber auch aus LDAP oder noch komplizierteren Dingen.
Leider hat die einrichtende Firma den bereits aufgesetzten Radius-Server vom Windows 2008-Server wieder aufgelöst, so dass ich nur schwer an die Daten des alten Servers komme.
Ich denke, Du wirst nicht viele Daten brauchen. Halt die MAC-Adressen, der Kisten, denen Du Zugang gewähren willst.
Irgendwie meinte der Techniker, dass damit auch die Nutzer-Authentifizierung stattfinden müsste, bevor man an den Domänen-Server kommt.
Das verstehe ich jetzt nicht. Vielleicht wollte er irgendwelches 802.1X machen…
Ich suche daher alle Hilfe, die ich bekommen kann...
Bei uns hat mal ein Praktikant für einen Kunden sowas aufgesetzt, was ich jetzt nicht weiß, ob es dokumentiert wurde ☺
Hallo!
Am Donnerstag 26 August 2010 schrieb Heiko Schlittermann:
Reiner Klaproth klaproth@online.de (Mi 25 Aug 2010 22:03:03 CEST):
Ich möchte in meinem (Schul-) Netzwerk den Radius-Server vom Windows 2008-Server ablösen.
Der Radius-Server ist die Basis für einen WLAN-Controller HP ProCurve MSM-760. Der wiederum managed 16 Access-Points von HP, die im Schulhaus verteilt sind. Über den Radius-Server soll letztlich die Begrenzung der MAC-Adressen erfolgen und vielleicht weitere Access-Dienste.
Ok. Diese Aufgabe sollte lösbar sein. Du willst als Radius wahrscheinlich freeradius auf einem Linux-Katen dorthin stellen?
Zum Beispiel.
Wie oft sollen sich die Daten ändern? Der Radius kann seine Information aus einer flachen Textfile beziehen, aber auch aus LDAP oder noch komplizierteren Dingen.
Beide Wege sind möglich. Die Nutzerverwaltung und die DHCP-Adressverwaltung liegen bereits auf einem LDAP-Server. Die Einträge für den Radius sind im Grunde statisch. Nachdem alles eingerichtet ist, ändern sich die Daten nur noch sporadisch: Einzelne private Notebooks nachtragen...
Irgendwie meinte der Techniker, dass damit auch die Nutzer-Authentifizierung stattfinden müsste, bevor man an den Domänen-Server kommt.
Das verstehe ich jetzt nicht. Vielleicht wollte er irgendwelches 802.1X machen…
Ich habe das auch nicht verstanden. Es gibt aber solche Optionen im Menü der MSM-760 - Kiste. Authentifizierung macht aber der Linux-Domänenserver. Auf diesen Windows-Mist habe ich keine Lust...
MfG Reiner Klaproth
Hallo Reiner,
Reiner Klaproth klaproth@online.de (Do 26 Aug 2010 05:43:21 CEST): (…)
Wie oft sollen sich die Daten ändern? Der Radius kann seine Information aus einer flachen Textfile beziehen, aber auch aus LDAP oder noch komplizierteren Dingen.
Beide Wege sind möglich. Die Nutzerverwaltung und die DHCP-Adressverwaltung liegen bereits auf einem LDAP-Server. Die Einträge für den Radius sind im Grunde statisch. Nachdem alles eingerichtet ist, ändern sich die Daten nur noch sporadisch: Einzelne private Notebooks nachtragen...
Dann würde ich die ersten Versuche nur mit dem Textfile machen, wenn die Infrastruktur geht, kannst Du immer noch über LDAP nachdenken. Vorteile durch den LDAP-Einsatz sehe ich erstmal nicht, es sei denn, Du willst vielleicht MAC-Adressen auch gleich in den Objekten von vorhandenen Nutzern speichern. (Das hätte einen gewissen Charme, denke ich… aber damit würde ich mir Zeit lassen.) Ob LDAP oder Text oder Datenbank ist nur eine Sache des Backends am Radius, und die sind austauschbar und, ich glaube, sogar parallel betreibbar.
Ich weiß nicht, wie weit hier schon was klar ist: wenn Du einfach nur MAC-basierte Authentifizierung machen willst, hat der Notebook selbst mit dem Radius nichts zu tun. Erst die AP sind Radius-Clients im Sinne des Protokolls. Die können z.B. die MAC-Adresse als Nutzername (und oft auch als Passwort) an den Radius-Server schicken (ggf. TLS-gesichert) und sich dann von diesem das OK geben lassen. Auf so einem Radius-Client ist i.d.R. nicht viel zu konfigurieren. Auf dem Radius-Server liegen dann „fake nutzer“, die so heißen wie die MAC-Adressen und Passworte haben, wie die eigene MAC. (So sollte das im Fall des Textfiles sein, bei einem LDAP-Backend, glaube ich, daß Du mit LDAP-Fragen ziemlich freizügig definieren kannst, wie das wo abgelegt ist und was der Radius-Server dann den LDAP fragt, um die richtige Entscheidung treffen zu können.)
Das alles, auch auf die Gefahr, daß ich bekannte Dinge wiedergeben oder möglicherweise auch Quatsch erzähle. Glaube mir nichts.
Das verstehe ich jetzt nicht. Vielleicht wollte er irgendwelches 802.1X machen…
Ich habe das auch nicht verstanden. Es gibt aber solche Optionen
Ich denke, daß Du das getrost weglassen kannst. Natürlich hängt es von Euren Sicherheitsbedürfnissen ab. Aber für 802.1x brauchst Du dann auch entsprechende Konfiguration und Software auf den Clients. Und ob Du diese erhöhte Komplexität brauchst??? MAC-Adressen sind fälschbar, und Gymnasiasten sind nicht dumm.
Hallo,
Bei uns hat mal ein Praktikant für einen Kunden sowas aufgesetzt, was ich jetzt nicht weiß, ob es dokumentiert wurde ☺
Hier ist der Praktikant! ;-)
Und ja, dürfte alles dokumentiert sein, im internen Schlittermann-Wiki. ;-)
Soweit ich mich erinnere, war das etwas Rumgfrickel mit dem Freeradius - man musste neu kompilieren/packetieren - wegen irgendwelchen GNUTLS vs. OpenSSL vs. GNU GPL/DFSG Geschichten - oder sowas in der Richtung - werde mir die genannte Sachlage hier mal am Wochenende durch den Kopf gehen lassen.
Gruß
Gunter Miegel
Hallo,
Gunter Miegel gunter.miegel@rgsqd.de (Do 26 Aug 2010 21:19:16 CEST):
Hallo,
Bei uns hat mal ein Praktikant für einen Kunden sowas aufgesetzt, was ich jetzt nicht weiß, ob es dokumentiert wurde ☺
Hier ist der Praktikant! ;-)
Ja, hallo :)
Und ja, dürfte alles dokumentiert sein, im internen Schlittermann-Wiki. ;-)
Habe es gefunden. Leider läßt sich gerade kein PDF davon machen, das kann sich aber morgen mal jemand vornehmen, dann können wir Dir (@Reiner) das mal schicken.
Soweit ich mich erinnere, war das etwas Rumgfrickel mit dem Freeradius - man musste neu kompilieren/packetieren - wegen irgendwelchen GNUTLS vs. OpenSSL vs. GNU GPL/DFSG Geschichten - oder sowas in der Richtung - werde mir die genannte Sachlage hier mal am Wochenende durch den Kopf gehen lassen.
Ja, das war aber, wie ich dem Dokument entnehme, weil dort noch 802.1x gemacht werden sollte, und das brauchte dann eine Verschlüsselung irgendwo.
lug-dd@mailman.schlittermann.de
-
Gunter Miegel -
Heiko Schlittermann -
Reiner Klaproth