Installation eines Radius-Servers

MachtDochNix · 7. November 2020 um 15:44

Ich versuche gerade Struktur in die Dokumentation bzgl. des Radius zu bekommen.
Mir raucht der Schädel weil mir einfach der Input fehlt:

Wer macht was wie?

Daher starte ich jetzt eine Umfrage wie der Einsatz bei euch erfolgt:

Es gibt ja 4 Installations-Verianten wenn ich das richtig rausbekommen habe.

Installation des Radius auf

OPNSense
Docker-Host auf dem Server
optionalen Docker-Host
direkt auf dem Server

0 Teilnehmer

Geht mir auch so!

Beste Grüße

Thorsten

Michael · 7. November 2020 um 18:42

Ich habe es „aus der Not heraus“ direkt auf dem v7 Server installiert. Empfohlen wird das aber nicht, da es bei großen System Upgrades evtl Probleme gibt…

baumhof · 7. November 2020 um 23:34

Hallo Thorsten,

auch ich hab den freeradius (wie in der lmn62) auf dem server installiert.
Dazu hatte Dominik eine Anleitung geschrieben.
Die schicke ich dir mal.

LG

Holger

zefanja · 8. November 2020 um 01:22

Steht das irgendwo? Ich sehe kein Problem, dass das auf dem v7 Server läuft. Die Probleme mit den Updates gab / gibt es nur, weil die linuxmuster Pakete sich nicht an Updatestandards halten, was config Dateien angeht.

vG Stephan

Michael · 8. November 2020 um 07:21

Das wurde hier im Forum geschrieben und zwar von @Till

Ich fände es auch besser, wenn der offiziell empfohlene Weg mit der Dokumentation übereinstimmen würde

MachtDochNix · 8. November 2020 um 07:55

Ich auch! Darum auch das ganze hier und Issue #433!

Aber solange keiner den genauen Weg beschreibt der funktioniert, ist es echt …!

Hilfe erbeten!

Gruß

Thorsten

zefanja · 8. November 2020 um 08:06

Wo ist das Problem? OPNSense funktioniert nicht, aus bekannten Gründen, und sollte aus der Doku raus. In der Doku ist bereits der Weg beschrieben, wie man es auf dem Dockerhost macht.

Das einzige Problem, dass ich sehe ist, das nicht jeder einen Dockerhost hat. Wie sieht dann der „offizielle“ Weg aus? Ob Dockerhost oder v7 Server ist doch im Prinzip egal. Als Alternative bleibt nur noch eine extra VM oder ein Container.

vG Stephan

MachtDochNix · 8. November 2020 um 09:43

Hallo Stephan!

Welche? Ich fand bisher nur Mutmaßungen warum sie so nicht funktioniert.

Mir stellt sich dann die Frage:
Wenn die Installation auf dem Dockerhost funktioniert. Warum gibt es dann keinen Container zum Download?

Dafür gibt es doch die VM des optionalen Dockerhosts?!

Ja, aber es geht hier um die Dokumentation. Wenn es heißt, auf dem lmn-Server soll sie nicht erfolgen, aus welchen Gründen auch immer. Bedeutet das für mich im Prinzip nur der optionale Dockerhost bleibt über.

Die Alternative OPNSense ist halt Baustelle und wird als solche deklariert.

Beste Grüße

Thorsten

zefanja · 8. November 2020 um 10:39

Weil man für die RADIUS ←→ AD Kommunikation ntlm_auth braucht, was die OPNSense nicht kann.

Weil die Installation für den Docker-Host und nicht für einen Container auf dem Dockerhost dokumentiert ist.

Möchte / Braucht ja nicht jeder.

Ich finde es ja sinnvoll, dass man gewissen Dienste trennt und auf verschiedene Hosts verteilt. Ein RADIUS Server ist aber kein großer Overhead. Es hat durchaus auch seine Vorteile ihn direkt auf den v7 Server zu installieren.

vG Stephan

MachtDochNix · 8. November 2020 um 11:35

Hallo Stephan!

OPNsense 20.7.4 released October 22, 2020, 11:10:35 pm

auf github plugins/net/freeradius/pkg-descr

Ist das einen Test wert, was meinst du?

Beste Grüße

Thorsten

zefanja · 8. November 2020 um 11:59

Hi,

ich sehe grad nicht den Zusammenhang. Ich glaube ich kann nicht viel zum Testen beitragen, da wir keine OPNSense verwenden.

vG Stephan

MachtDochNix · 8. November 2020 um 12:17

Nee, so war das nicht gemeint. Eher nach deiner Meinung, ob es mit der neuen Version der OPNSense klappen könnte.

Beste Grüße

Thorsten

zefanja · 8. November 2020 um 12:33

Warum sollte es? Es stand nichts zu ntlm_auth in den Änderungen.

cweikl · 8. November 2020 um 18:12

Hallo zusammen,
habe nach dem o.g. Stand die Doku hierzu angepasst. Bitte prüft, ob wir das so lassen können. Bitte Rückmeldungen zu Euren Implementationstests.
VG
Chris

wilfried · 9. November 2020 um 08:20

Hallo Chris,

ich habe auf dem Server installiert, und zwar so, wie du es im Docker-Abschnitt beschrieben hast:

"NTLM Authentifizierung in Samba erlauben

In der Datei /etc/samba/smb.conf ist in der Rubrik [global] folgende Zeile einzufügen:

[global]
…
ntlm auth = mschapv2-and-ntlmv2-only"

Im Server-Abschnitt steht hier:

"ntlm_auth in samba erlauben

In der Datei /etc/samba/smb.conf ist folgende Zeile einzufügen:

ntlm auth = yes"

Keine Ahnung, ob das große Auswirkungen hat, ich wollte nur darauf hinweisen.

Viele Grüße

Wilfried

cweikl · 9. November 2020 um 14:25

Hallo Wilfried,
vielen Dank für die Rückmeldung. Ja, das muss ich noch anpassen. Der Eintrag wie beim Docker sollte der aktuell korrekte sein.

Funktionieren denn die Einstellungen für Dein WLAN mit den beschriebenen Einstellungen ?
VG
Chris

wilfried · 9. November 2020 um 14:44

Hallo Chris,
ja, läuft bei mir.
Viele Grüße, Wilfried

dorian · 2. Februar 2021 um 12:35

Hi zusammen,

Wir würden nun auch gerne freeradius benutzen. Gibt es inzwischen eine Anleitung?

VG, Dorian

garblixa · 2. Februar 2021 um 13:43

Hallo Dorian,

diese Anleitung funktioniert ganz gut:

Ich habe den freeradius direkt auf dem LMN Server installiert, da die Abhängigkeiten doch sehr überschaubar sind und mir dafür ein extra Docker Container als Overhead erscheint.

Viele Grüße
Klaus

dorian · 2. Februar 2021 um 14:34

Hallo Klaus,

Vielen Dank, probiere ich morgen mal aus
@MachtDochNix Spricht was dagegen, das auch in der Dokumentation zu beschreiben?

VG, Dorian