Hallo zusammen
unser Lehrer-WLAn läuft über Unifi und einer Radius-Enterprise-Authentifizierung. Das Login für die Lehrer
funktioniert problemlos.
In der Datei /etc/freeradius/users steht bei uns:
...
# linuxmuster.net -- automatic entries below this line
DEFAULT Ldap-Group != teachers
DEFAULT Auth-Type := REJECT
Reply-Message = "Sie d<C3><BC>rfen momentan nicht auf das WLAN zugreifen."
# linuxmuster.net -- automatic entries above this line
...
Ich dachte damit wären die Schüler aus dem Netz ausgenommen. Dem ist aber nicht so. Wo muss ich suchen, damit sich SuS hier nicht einloggen können.
Grüße Rainer
Hallo Rainer,
schaue dir mal hier den Eintrag mit p_wifi an. Es kann sein, dass das Ausrufezeichen falsch ist:
http://docs.linuxmuster.net/de/latest/systemadministration/network/radius/ldap.html#zugriffsbeschrankung-aktivieren
Viele Grüße
Wilfried
Habe mal nachgeschaut, bei mir steht DEFAULT Group == p_wifi und die Reply-Zeile fehlt.
Hallo Wilfried,
eine funktionierende /etc/freeradius/users sieht bei mir so aus:
DEFAULT Ldap-Group == "cn=teachers,ou=groups,dc=hoelderlin,dc=hd,dc=schule-bw,dc=de"
DEFAULT Ldap-Group == "cn=p_wifi,ou=groups,dc=hoelderlin,dc=hd,dc=schule-bw,dc=de"
DEFAULT Auth-Type := Reject
Reply-Message = "Your are not allowed to access the WLAN!"
Dies wäre ein Beispiel für Zugang für Lehrer und Mitglieder von p_wifi, alle anderen haben keinen Zugang.
Die Beispielkonfiguration aus den Docs ist offenbar fehlerhaft.
Beste Grüße
Jörg
Hallo Jörg,
meine funktioniert auch, aber deine hört sich logischer an.
Viele Grüße, Wilfried
Hallo Jörg
ja so scheint es mir auch logisch.
Braucht man beide Zeilen? Sind die teachers nicht auch in der Gruppe p_wifi?
Bzw wie kommen die teacher da rein bzw raus? Bei mir sind sie alle drin …
Grüße Rainer
Hallo Wilfried,
ich dachte, bei Dir hätten ungewollterweise auch die Schüler Zugriff?
Bei meinem Beispiel werden sie jedenfalls abgewiesen (außer natürlich
sie stehen gerade in p_wifi).
Beste Grüße
Jörg
Hallo Rainer,
standardmäßig enthält die Gruppe p_wifi die Gruppe teachers (so kommen
die Lehrer bei Dir da hinein) - dann braucht man die Ziele mit den
teachers natürlich nicht.
Beste Grüße
Jörg
Hallo Jörg,
so funktioniert es bei mir auch.
Viele Grüße, Wilfried
Hallo Wilfried, hallo Rainer,
jetzt sehe ich es: die Frage kam ja ursprünglich von Rainer! Sorry für
die Verwirrung.
@Rainer: Die Logik ist so: Mit DEFAULT beginnt ein neuer Test. Bei einem
Match wird der Zugang erlaubt, außer es steht explizit Reject dabei.
Deine erste Zeile erlaubt also allen außer den Mitgliedern von p_wifi
den Zugang.
Die weiteren verbieten allen andern den Zugang.
Wenn es bei Deiner Konfiguration für Lehrer ging, dann hast Du eventuell
noch nicht Deine radius.conf angepasst (den Gruppenfilter gesetzt wie in
der Anleitung angegeben).
Sehr hilfreich ist auch, den Freeradius zu stoppen (‘service freeradius
stop’) und dann manuell mit ‘freeradius -X’ zu starten - da ist er
extrem geschwätzig.
Beste Grüße
Jörg