Chaospott Wiki (Alt)

Altes wiki. Hilf doch beim Migrieren mit! https://wiki.chaospott.de

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Sie befinden sich hier: Chaospott Wiki » Infrastruktur » Netzwerkinfrastruktur » Freeradius
infrastruktur:netzwerk:freeradius:start

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

infrastruktur:netzwerk:freeradius:start [28.10.2018 18:37]
a3x 		infrastruktur:netzwerk:freeradius:start [13.05.2019 20:45]
Zeile 1: Zeile 1:
-====== WLAN ====== 
- 
-Es besteht immer die Möglichkeit sich über das unverschlüsselte WLan mit der SSID "foobar" ohne Einschränkung zu verbinden und dies wird auch weiterhin, sofern nicht anders entschieden wird, zur Verfügung stehen. 
- 
- 
-====== Warum jetzt Enterprise? ====== 
- 
- 
-TL;DR: Hardware/Software zwingt uns 
- 
-Diese Frage ist berechtigt, da Sicherheitsstandards gerade in dieser Umsetzung schon seit einiger Zeit angezweifelt und darüber hinaus als noch gefährlicher als ein offenes Netzwerk gesehen werden.   
- 
-In der Form, wie wir es umsetzen, kann man diese jedoch vernachlässigen. 
- 
-Da unsere Unifi APs uns nicht erlauben ein Zero Handoff Netzwerk für angenehmes Roaming mit einem unverschlüsseltem WLan einzurichten und wir den Zugang im Club gerne möglichst offen lassen wollen, benutzen wir Enterprise Wifi mit beliebigen Credentials.  
- 
- 
-====== Umsetzung ====== 
- 
-Läuft gerade auf [[noc:vms:radius:]] zusammen mit dem Unifi Controller. 
- 
-===== Certs ===== 
- 
- 
-Benutzt nun richtig signierte Zertifikate von **Let's Encrypt**. Die Domain ist radius.chaospott.de. 
-Todo: Ca File für User zur Verfügung stellen. 
- 
- 
-===== Angepasste Konfigurations Dateien ===== 
- 
- 
-/etc/raddb/clients.conf 
-   
-  ... 
-  client 10.0.0.2 { 
-      require_message_authenticator = no // probably useless 
-      ip_addr = 10.42.1.0                // IP Adresses of Access Points 
-      netmask = 24                       // as subnet ... lazy 
-      secret = geheim                    // secret to authenticate for Access Points 
-      nastype = other                    // also probably useless 
-  } 
-  ... 
- 
- 
-At the beginning of file /etc/raddb/users add 
-   
-  anonymous Cleartext-Password :="anonymous" 
-   
-  DEFAULT   FreeRadius-Proxied-To == 127.0.0.1, Auth-Type := Accept // 127.0.0.1 is note relative to any special setup, it's just there 
- 
- 
-for easier debugging replace/overwrite in log section of /etc/raddb/radiusd.conf 
-   
-  log { 
-   
-      # ... 
-   
-      auth = yes 
-      auth_badpass = yes 
-      auth_goodpass = yes 
-   
-      # ... 
-   
-  } 
- 
- 
- 
-===== Unifi ===== 
- 
- 
-Im Unifi Controller muss nun lediglich der auth und acct server für das enterprise Wlan eingerichtet werden mit der IP der Freeradius Instanz und dem secret aus der client.conf 
- 
- 
-====== Hinweise ====== 
- 
- 
-Es ist nur PAP möglich, jedoch erkennen die meisten Clients ( MacOs, IOS, ... ) automatisch, wie es geht. 
- 
-Keine sicheren Passwörter benutzen, ohne eine CA spezifiziert zu haben. Oder besser: keine Standard Passwörter benutzen. 
- 
- 
  
infrastruktur/netzwerk/freeradius/start.txt · Zuletzt geändert: 13.05.2019 20:45 (Externe Bearbeitung)

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution 4.0 International
CC Attribution 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki