die radius.pem.
Sehe ich es richtig, dass ich damit die ca vom server verwendet habe um mein cert selbst zu signieren?
Ich muss also die Datei /etc/linuxmuster/ssl/cacert.crt
vom server nehmen und am Client importieren. korrekt?
Das ist ja auch die, die ich in der eap Datei angebe unter:
ca_file = /etc/freeradius/3.0/certs/server.crt
die darüber genannten certification_file und private_key_file sind die eben erstellten radius.pem und radius-key.pem die ich im Verzeichnis
/etc/freeradius/3.0/certs/ habe.
Sie gehören root:freerad und haben 640 als Rechte.
Hallo.
Ich pushe diesen Thread nochmal nach oben, weil wir uns auch wieder mit der Frage beschäftigen, ob ein WPA3-Enterprise-WLAN nicht die bessere Wahl ist … allerdings würde ich das Verteilen der Zertifikate gerne sofort mit relution verknüpfen, so dass das Verteilen und Aktualisieren der Zertifikate automatisch geschehen kann. Dazu gibt es unter Relution den Punkt:
Damit das Ganze über Relution funktioniert, brauchst du eine PKI, die SCEP (Simple Certificate Enrollment Process) unterstützt. Kann die lmn bislang nicht.
Momentan ist was du vorhast, nur über Drittanbietersoftware möglich,. z.B. mit openxpki eine eigene PKI aufzusetzen welche SCEP unterstützt.
Die Idee, dass jedes Gerät sein eigenes Zertifikat für EAP-TLS-Authorisierung hat, ist natürlich das Optimum. Alternativ könnte man versuchen, ein Client-Zertifikat über erstellen, mit der CA der lmn zu signieren und dieses eine Client-Zertifikat mit Relution auf alle Mobilgeräte zu verteilen. Ich persönlich kenne mich aber mit Relution nicht gut genug aus um bestätigen zu können, dass das so funktioniert.
Die Idee, das Enrollment über SAMBA zu machen wäre gut, geht aber nicht, da es momentan mit samba-tool keine Befehle für das das Verwalten der Richtlinie für die Server Site Extension gibt. (siehe 14 Certificate Auto Enrollment Policy | Group Policy on Linux). Was ab Samba 4.16 funktioniert ist, das sich ein Linux CLIENT per Autoenrollment von einem Windows Server ein Zertifikat holt.
Hallo Thomas,
genau das war mein Gedanke, als ich die neuen Settings unter relution gesehen habe. Aber ob und wie das funktioniert, weiß ich nicht.
In Sachen WPA3-Enterprise WLAN bin ich aber noch einige Schritte weiter vorne, denn ich versuche zunächst noch zu verstehen, wie/ob es überhaupt im v7-lmn-Setup möglich ist, dass man ein WPA3-Enterprise-WLAN nur für Lehrergeräte einrichtet!? Es müsste also die Gruppenzugehörigkeit „teacher“ abgefragt werden und nicht zusätzlich die Gruppenzugehörigkeit „p_wifi“. Ob das überhaupt so geht, weiß ich bisher nicht. Falls es möglich ist, wäre das Optimum vermutlich, dass der Freeradius-Server beides bedient, also sowohl die Gruppenzugehörigkeit zu p_wifi als auch zu teachers. Ob das so einfach umsetzbar, steht aber auf einem anderen Blatt. Daher bin ich auch weiterhin an der Lösung in Sachen freeRADIUS + LDAP interessiert, die ja im Parallelthread schon diskutiert wurde.
mach doch einfach einen zweiten RADIUS-Server der als Gruppenzugehörigkeit die Gruppenzugehörigkeit teachers abfragt. Ist zwar nicht elegant, aber funktioniert.
Hallo Thomas,
daran habe ich auch schon gedacht aber ich dachte bisher, dass das aufgrund der nicht vorhandenen Eleganz der letzte Weg ist, den man einschlagen sollte
Im Unifi-Controller ist das mit unterschliedlichen RADIUS-Servern ja auch alles easy über die Profile regelbar. Da unser freeRADIUS-Server (entgegen der Empfehlung aus den docs) im Moment noch auf dem v7-Server läuft, habe ich schon mal einen Proxmox-Container mit freeRADIUS 3.2 hochgezogen.
Ich hänge mich für alles weitere dann mal an diesen Thread:
