[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: User Digest, Vol 111, Issue 11



Hallo Wolfgang,

ich bin dir sehr dankbar, dein Script funktioniert super. Ich habe die WLAN-Anbindung damit hinbekommen. Vielen Dank!

Aber da kommt mit auch schon die nächste Frage in den Sinn: Kann ich unter diesen Bedingungen einzelne APs für die Gruppe wireless, in der meine Schüler sind, sperren, um ihn für Lehrer oder anderen Aufgaben zu reservieren?

Grüße aus Hessen
Thomas Ritter

Am 24.10.2012 12:00, schrieb user-request@skolelinux.de:
Send User mailing list submissions to
	user@skolelinux.de

To subscribe or unsubscribe via the World Wide Web, visit
	https://www.skolelinux.de/mailman/listinfo/user
or, via email, send a message with subject or body 'help' to
	user-request@skolelinux.de

You can reach the person managing the list at
	user-owner@skolelinux.de

When replying, please edit your Subject line so it is more specific
than "Re: Contents of User digest..."


Today's Topics:

    1. Re: GOSA und RADIUS- Server (Wolfgang Schweer)


----------------------------------------------------------------------

Message: 1
Date: 23 Oct 2012 13:05:09 +0200
From: "Wolfgang Schweer" <wschweer@arcor.de>
Subject: Re: GOSA und RADIUS- Server
To: user@skolelinux.de
Message-ID: <20121023110509.GA14289@schweer-online.local>
Content-Type: text/plain; charset="iso-8859-1"

On Fri, Oct 19, 2012 at 07:30:40PM +0200, Thomas Ritter wrote:

hat Jemand von euch einen RADIUS-Server für ein WLAN am Laufen oder
möchte es gern mit mir gemeinsam ausprobieren? Ich möchte einer
ausgewählten Benutzergruppe ( ->GOSA) einen Zugang zum schulischen
WLAN einrichten (können)

Hallo Thomas,

kurz aufgeschrieben, alles ohne Garantie:

--------------------------------------------------------------------
Debian-Edu Squeeze: WLAN mit WPA2 Enterprise (EAP-TTLS außen, PAP im
inneren Tunnel)
--------------------------------------------------------------------

Als root auf tjener ausführen:


(1) Kerberos-Anbindung für freeradius herstellen.

kadmin -p root/admin@INTERN
[Admin-Passwort eingeben]

Am kadmin-Prompt Schlüssel erzeugen, in Datei ablegen, verlassen.
kadmin: ank -randkey radius/tjener@INTERN
kadmin: ktadd -k /etc/krb5.keytab.radius radius/tjener@INTERN
kadmin: q

Rechte der Datei kontrollieren, sollte 0600 sein.


(2) Pakete installieren.

aptget update
apt-get install freeradius-krb5

(Die Pakete freeradius, freeradius-common und freeradius-utils sollten
automatisch mit installiert werden.)


(3) Sechs Dateien modifizieren; unten sind alle überflüssigen Inhalte
weggelassen.

1.
#/etc/freeradius/modules/krb5
krb5 {
	keytab = /etc/krb5.keytab.radius
	service_principal = radius/tjener
}
#


2.
#/etc/freeradius/eap.conf:
	eap {
		default_eap_type = ttls
		timer_expire     = 60
		ignore_unknown_eap_types = no
		cisco_accounting_username_bug = no
		max_sessions = 4096
		md5 {
		}
		tls {
			certdir = ${confdir}/certs
			cadir = ${confdir}/certs
			private_key_password = whatever
			private_key_file = ${certdir}/server.key
			certificate_file = ${certdir}/server.pem
			CA_file = ${cadir}/ca.pem
			dh_file = ${certdir}/dh
			random_file = /dev/urandom
			CA_path = ${cadir}
			cipher_list = "DEFAULT"
			cache {
			      enable = no
			}
		}
		ttls {
			default_eap_type = md5
			copy_request_to_tunnel = yes
			use_tunneled_reply = yes
			virtual_server = "inner-tunnel"
		}
	}
#


3.
#/etc/freeradius/users
#
# Alternativ; bessere Zugangssteuerung ueber Gruppen ist
# in der Datei ../sites-available/default realisiert.
#
#DEFAULT	Group != "wireless", Auth-Type := Reject
#		Reply-Message = "Zugang nicht erlaubt"

DEFAULT Auth-Type = Kerberos
#


4.
#/etc/freeradius/clients.conf
# Client-IP (Access-Point oder Concentrator),secret und shortname
# anpassen, secret im AP ebenfalls.
#
client 10.0.2.3 {
	secret		= bitte_aendern
	shortname	= ddwrt
}
#


5.
#/etc/freeradius/sites-available/default
authorize {
	auth_log
	eap {
		ok = return
	}
	files
}

authenticate {
	Auth-Type Kerberos {
		krb5
	}
	eap
}

accounting {
#	detail
	unix
	radutmp
	exec
	attr_filter.accounting_response
}

session {
	radutmp
}

# Hier wird der Zugang von Gruppen festgelegt. Beispiel: User erlauben,
# falls zu den Gruppen teachers oder wireless gehoerend.
post-auth {
	if ( Group == teachers ) {
		noop
	}
	elsif ( Group == wireless ) {
		noop
	}
	else {
		reject
	}
}
#


6.

#/etc/freeradius/sites-available/inner-tunnel
server inner-tunnel {
listen {
        ipaddr = 127.0.0.1
        port = 18120
        type = auth
}
authorize {
	update control {
	       Proxy-To-Realm := LOCAL
	}
	eap {
		ok = return
	}
	files
	expiration
	logintime
	pap
}

authenticate {
	Auth-Type PAP {
		pap
	}
	Auth-Type Kerberos {
		krb5
	}
}

session {
	radutmp
}

}

(4) Den Dienst neu starten.

invoke-rc.d freeradius restart



Zur Fehlerkontrolle Debug-Modus:

invoke-rc.d freeradius stop
freeradius -X
Dann Verbindung aufbauen und den Output kontrollieren.


Viele Grüße,
Wolfgang

-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 198 bytes
Desc: Digital signature
Url : http://www.skolelinux.de/pipermail/user/attachments/20121023/7563c37b/attachment-0001.pgp

------------------------------


begin:vcard
fn:Thomas Ritter
n:;Thomas Ritter
email;internet:ritter@elisabethschule.de
tel;work:06421/924668
version:2.1
end:vcard


Reply to: