Hilfe bei Zugriffbeschränkung

schajor · 20. März 2019 um 12:23

Hallo zusammen

unser Lehrer-WLAn läuft über Unifi und einer Radius-Enterprise-Authentifizierung. Das Login für die Lehrer
funktioniert problemlos.
In der Datei /etc/freeradius/users steht bei uns:

...
# linuxmuster.net -- automatic entries below this line
DEFAULT Ldap-Group != teachers
DEFAULT Auth-Type := REJECT
    Reply-Message = "Sie d<C3><BC>rfen momentan nicht auf das WLAN zugreifen."
# linuxmuster.net -- automatic entries above this line
...

Ich dachte damit wären die Schüler aus dem Netz ausgenommen. Dem ist aber nicht so. Wo muss ich suchen, damit sich SuS hier nicht einloggen können.

Grüße Rainer

wilfried · 20. März 2019 um 13:18

Hallo Rainer,

schaue dir mal hier den Eintrag mit p_wifi an. Es kann sein, dass das Ausrufezeichen falsch ist:
http://docs.linuxmuster.net/de/latest/systemadministration/network/radius/ldap.html#zugriffsbeschrankung-aktivieren

Viele Grüße
Wilfried

wilfried · 20. März 2019 um 13:44

Habe mal nachgeschaut, bei mir steht DEFAULT Group == p_wifi und die Reply-Zeile fehlt.

jrichter · 20. März 2019 um 15:27

Hallo Wilfried,

eine funktionierende /etc/freeradius/users sieht bei mir so aus:

DEFAULT Ldap-Group == "cn=teachers,ou=groups,dc=hoelderlin,dc=hd,dc=schule-bw,dc=de"

DEFAULT Ldap-Group == "cn=p_wifi,ou=groups,dc=hoelderlin,dc=hd,dc=schule-bw,dc=de"

DEFAULT  Auth-Type := Reject
   Reply-Message = "Your are not allowed to access the WLAN!"

Dies wäre ein Beispiel für Zugang für Lehrer und Mitglieder von p_wifi, alle anderen haben keinen Zugang.

Die Beispielkonfiguration aus den Docs ist offenbar fehlerhaft.

Beste Grüße

Jörg

wilfried · 20. März 2019 um 15:38

Hallo Jörg,

meine funktioniert auch, aber deine hört sich logischer an.

Viele Grüße, Wilfried

schajor · 20. März 2019 um 15:54

Hallo Jörg

ja so scheint es mir auch logisch.

Braucht man beide Zeilen? Sind die teachers nicht auch in der Gruppe p_wifi?
Bzw wie kommen die teacher da rein bzw raus? Bei mir sind sie alle drin …

Grüße Rainer

jrichter · 20. März 2019 um 15:50

Hallo Wilfried,

ich dachte, bei Dir hätten ungewollterweise auch die Schüler Zugriff?
Bei meinem Beispiel werden sie jedenfalls abgewiesen (außer natürlich
sie stehen gerade in p_wifi).

Beste Grüße

Jörg

jrichter · 20. März 2019 um 16:09

Hallo Rainer,

standardmäßig enthält die Gruppe p_wifi die Gruppe teachers (so kommen
die Lehrer bei Dir da hinein) - dann braucht man die Ziele mit den
teachers natürlich nicht.

Beste Grüße

Jörg

wilfried · 20. März 2019 um 16:27

Hallo Jörg,

so funktioniert es bei mir auch.

Viele Grüße, Wilfried

jrichter · 20. März 2019 um 17:25

Hallo Wilfried, hallo Rainer,

jetzt sehe ich es: die Frage kam ja ursprünglich von Rainer! Sorry für
die Verwirrung.

@Rainer: Die Logik ist so: Mit DEFAULT beginnt ein neuer Test. Bei einem
Match wird der Zugang erlaubt, außer es steht explizit Reject dabei.

Deine erste Zeile erlaubt also allen außer den Mitgliedern von p_wifi
den Zugang.

Die weiteren verbieten allen andern den Zugang.

Wenn es bei Deiner Konfiguration für Lehrer ging, dann hast Du eventuell
noch nicht Deine radius.conf angepasst (den Gruppenfilter gesetzt wie in
der Anleitung angegeben).

Sehr hilfreich ist auch, den Freeradius zu stoppen (‘service freeradius
stop’) und dann manuell mit ‘freeradius -X’ zu starten - da ist er
extrem geschwätzig.

Beste Grüße

Jörg