Altes wiki. Hilf doch beim Migrieren mit! https://wiki.chaospott.de
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
infrastruktur:netzwerk:freeradius:start [24.10.2016 11:45] 127.0.0.1 Externe Bearbeitung |
infrastruktur:netzwerk:freeradius:start [13.05.2019 20:45] |
||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | {{ServiceInfoBox | ||
- | |name = Enterprise Wifi | ||
- | |status | ||
- | |image | ||
- | |description = Wlan mit SSID " | ||
- | |author | ||
- | |username | ||
- | |maintainer | ||
- | |version | ||
- | |update | ||
- | |platform | ||
- | |license | ||
- | }} | ||
- | |||
- | |||
- | ====== WLAN ====== | ||
- | |||
- | |||
- | Es besteht immer die Möglichkeit sich über das unverschlüsselte WLan mit der SSID " | ||
- | |||
- | |||
- | ====== Warum jetzt Enterprise? ====== | ||
- | |||
- | |||
- | TL;DR: Hardware/ | ||
- | |||
- | Diese Frage ist berechtigt, da Sicherheitsstandards gerade in dieser Umsetzung schon seit einiger Zeit angezweifelt und darüber hinaus als noch gefährlicher als ein offenes Netzwerk gesehen werden. | ||
- | |||
- | In der Form, wie wir es umsetzen, kann man diese jedoch vernachlässigen. | ||
- | |||
- | Da unsere Unifi APs uns nicht erlauben ein Zero Handoff Netzwerk für angenehmes Roaming mit einem unverschlüsseltem WLan einzurichten und wir den Zugang im Club gerne möglichst offen lassen wollen, benutzen wir Enterprise Wifi mit beliebigen Credentials. | ||
- | |||
- | |||
- | ====== Umsetzung ====== | ||
- | |||
- | |||
- | Freeradius läuft in einem Jail auf einer Freebsd Instanz unter der Adresse 10.42.0.237. | ||
- | |||
- | |||
- | ===== Certs ===== | ||
- | |||
- | |||
- | Cert konfigurieren mit dem bootstrap script in / | ||
- | Todo: Ca File für User zur Verfügung stellen. | ||
- | |||
- | |||
- | ===== Angepasste Konfigurations Dateien ===== | ||
- | |||
- | |||
- | / | ||
- | | ||
- | ... | ||
- | client 10.0.0.2 { | ||
- | require_message_authenticator = no // probably useless | ||
- | ip_addr = 10.42.1.0 | ||
- | netmask = 24 // as subnet ... lazy | ||
- | secret = geheim | ||
- | nastype = other // also probably useless | ||
- | } | ||
- | ... | ||
- | |||
- | |||
- | At the beginning of file / | ||
- | | ||
- | anonymous Cleartext-Password : | ||
- | | ||
- | DEFAULT | ||
- | |||
- | |||
- | for easier debugging replace/ | ||
- | | ||
- | log { | ||
- | | ||
- | # ... | ||
- | | ||
- | auth = yes | ||
- | auth_badpass = yes | ||
- | auth_goodpass = yes | ||
- | | ||
- | # ... | ||
- | | ||
- | } | ||
- | |||
- | |||
- | |||
- | ===== Unifi ===== | ||
- | |||
- | |||
- | Im Unifi Controller muss nun lediglich der auth und acct server für das enterprise Wlan eingerichtet werden mit der IP der Freeradius Instanz und dem secret aus der client.conf | ||
- | |||
- | |||
- | ====== Hinweise ====== | ||
- | |||
- | |||
- | Es ist nur PAP möglich, jedoch erkennen die meisten Clients ( MacOs, IOS, ... ) automatisch, | ||
- | |||
- | Keine sicheren Passwörter benutzen, ohne eine CA spezifiziert zu haben. Oder besser: keine Standard Passwörter benutzen. | ||
- | |||
- | |||