Anleitung Freeradius auf DockerHost unklar

maxEG · 4. Januar 2021 um 01:00

Hallo!
Ich arbeite mich gerade durch

und verstehe im Kapitel „FreeRADIUS auf dem Docker-Host einrichten & testen“ absolut nicht, was ich auf welchem Server ausführen muss. In der Anleitung steht vorne immer „server“ aber installieren soll ich freeradius auf dem Server ja gerade NICHT.
Im Unterkapitel „Radius konfigurieren“ steht, man soll

usermod -a -G winbindd_priv freerad

ausführen. Auf dem Server kommt "user freerad does not exist und auf dem Docker kommt group winbindd_priv does not exist… Ich kapier es nicht.

Danke für Tipps!
Liebe Grüße
Max
Ach ja: ich habe Unifi, muss ich da etwas beachten?

wilfried · 4. Januar 2021 um 09:02

Hallo Max,

wenn du Unifi hast, funktioniert der freeradius nicht auf der OPNSense, weil dort eine Voraussetzung fehlt (welche weiß ich nicht mehr, ist aber in den einschlägigen Diskussionen hier nachzulesen). Theoretisch soll man den freeradius auf den anderen Maschinen installieren können, nicht aber auf dem Server, da der nicht mit anderen Diensten befrachtet werden soll.-
In der Praxis haben wohl die meisten Unifi-Nutzer den freeradius doch auf dem Server laufen, da es keine spezielle Anleitung für andere Lösungen gibt.

Viele Grüße

Wilfried

Michael · 4. Januar 2021 um 10:50

Hallo zusammen.

Ja, kann ich bestätigen … ich habe den freeradius-Dienst auch auf dem lmn7-Server installiert. Aus genau diesem Grund: Es lief dort sehr schnell und „damals“ gab es noch keine andere Lösung. Empfohlen wird das aber nicht!

Die Diskussion, warum man es aber eigentlich lieber woanders installieren sollte, ist hier:

hth,
Michael

maxEG · 4. Januar 2021 um 23:10

Hallo!
Ok, wenn das nicht empfohlen wird, mag ich es auch nicht machen. Ich würde lieber den Dockerhost dafür „missbrauchen“. Missbrauchen, weil es ja kein Freeradius-Dockercontainer ist sondern nur ein Paket…
Aber: wie geht das?
LG
Max

baumhof · 4. Januar 2021 um 23:30

Hallo Max,

auch ich habe den freeradius auf dem server selbst installiert (nach
Dominiks Anleitung).
Gerne werde ich ihn dort wieder entfernen: doch noch habe ich keine
andere Anleitung gefunden die funktioniert.

LG

Holger

foer · 5. Januar 2021 um 09:20

Hallo Max. Ich habe das damals auch mit einem Docker Freeradius versucht…das hat schon irgendwie funktioniert aber die Komplexität, die da dazu kam war einfach sch…zudem war es ein unzuverlässiges Setup.
Als Alternative könntest du den Freeradius auch einfach auf dem Unifi-Controller installieren. In wie weit es dann Probleme mit dem ntlm-auth gibt weiß ich nicht…wahrscheinlich muss der Unifi in die Domäne.

Mich nervt schon seit langem die Diskussion zu dem Thema…als ich das Thema bearbeitet habe (frühe Betaphase) hat sich niemand geäußert obwohl ich oft darum gebeten habe, also habe ich das so umgesetzt wie es stabil funktioniert und das war halt auf dem lmn-server. Seit dem höre ich hier immer nur, dass man das nicht machen soll und den Docker nutzen soll aber von denen die das sagen hat noch niemand eine einfach zu wartende, stabile Lösung präsentiert…das ist übrigens in einigen Teilbereichen so, nicht nur beim Freeradius und das nervt und demotiviert.

Ich kann dir nur soviel dazu sagen als dass der Freeradius auf dem lmn-server mit Unifi super funktioniert.

VG Dominik

cweikl · 5. Januar 2021 um 12:37

Hallo zusammen,

in der Doku haben wir als Doku-Team nur die Sachen aufgegriffen, die ursprünglich geplant und umzusetzen waren.
Dies ist der Betrieb des Freeradius auf der OPNSense. Diesen hatten wir zunächst nur dokumentiert.
Allerdings wurde dann recht schnell klar, dass dies so nicht funktioniert, da das OPNSense plugin die Kommunikation Freeradius -> AD mit auth_ntlm nicht unterstützt/korrekt ausführt (dies steht in der aktuellen Doku so auch drin!).

Wenn eine Installation auf dem Docker ausgeführt werden soll, dann muss es dafür eigentlich auch einen Docker-Container geben, der vorkonfiguriert ist und wir würden dann die Anpassungen beschreiben.
Den gibt es aber nicht!
Es wäre also super, wenn sich einer dazu bereit erklären würde, diesen zu erstellen und zu pflegen.
Wir werden nochmal ein issue bei OPNsense dazu öffnen, ggf. wird dort die Funktionalität ja doch nochmal aufgegriffen.

Wir haben also nur Workarounds beschrieben, wovon auch nur der auf dem Server von Dominik @foer wirklich funktioniert.

Ansonsten haben @MachtDochNix und ich uns im Doku-Team dazu entschieden, da diese Diskussion nun schon so lange geführt wird, aber es leider keine offizielle Lösung dazu gibt, vorerst, den beschriebenen Workaround - nämlich der Betrieb des Freeradius auf dem lmn - Server in das Wiki als Workaround zu übernehmen und in der offiziellen Doku diesen Bereich nur mit dem auszustatten, wie es vorgesehen ist von den Entwicklern.

@foer: Ja, die Diskussion führen wir schon lange, bislang ohne Lösung. Die bisherige Einbindung in die Doku war als Service gedacht, führt aber zu vielen weiteren Diskussionen und Unmut, so dass das Community-Wiki für den Workaround hier wohl der geeignetere Platz dafür ist. Du steckst in dem Thema ja schon gut drin, hast Du noch Ideen dazu, denn ich hätte auch gerne eine offizielle Lösung

LG

stellvertretend für das Doku-Team Chris

cweikl · 5. Januar 2021 um 13:43

Der Wiki Artikel findet sich hier:

Hinweise und Kommentare oder direkte Ergänzungen im Wiki sind herzlich willkommen
VG
Chris