ich habe einen Aruba AccessPoint IAP 103. momentan habe ich den testweise einfach mal ins grüne Netz aufgenommen. Wenn ich das Netz freigebe können die Clients aufs Internet zugreifen. Die Verwaltung des Accesspoints bietet die Möglichkeit einer Authetifizierung gegen einen LDAP an. Ich habe die Einstellungen so vorgenommen wie in einem LDAP-Browser über den ich Zugriff auf den LDAP habe.
Nur bei dem Schlüsselattribut bin ich unsicher.
Aruba sagt hierzu:“Das Attribut, das als Schlüssel für die LDAP-Serversuche verwendet werden soll. Für Active Directory ist der Wert „sAMAccountName“.” Aber auch mit diesem Wert funktioniert die Anmeldung nicht.
Leider bekomme ich außer der Meldung “Authentication Server HBG-LDAP with ip 10.16.1.1 is down.” keine weiter Hilfe.
Leider bekomme ich außer der Meldung „Authentication Server HBG-LDAP
with ip 10.16.1.1 is down.“ keine weiter Hilfe.
Weiß jemand Rat?
die Untersuchung mit dem LDAP Browser: war die von der IP des APs aus?
Der Dienst slapd ist der „Ansprechpartner“ für LDAP Anfragen an den
Server: normalerweise antwortet der eben nicht „jedem“.
Willst du, dass er antwortet, mußt du die /etc/ldap/lsapd.conf
manipulieren und den Dienst neu starten.
z.B.
#Limits Access:
access to
attrs=sambaLMPassword,sambaNTPassword,sambaPwdLastSet,sambaPwdMustChange,sambaAcctFlags,userPassword
by anonymous peername.ip=10.16.1.254 auth
by anonymous peername.ip=10.16.1.1 auth
by anonymous peername.ip=127.0.0.1 auth
by anonymous peername.ip=x.x.x.x auth
by anonymous ssf=56 auth
by self peername.ip=127.0.0.1 write
by self ssf=56 write
by * none
x.x.x.x ersetzen durch die IP deines APs und danach
/etc/init.d/slapd restart
hab den LDAP Browser nicht vom Accesspoint sondern einem Clientrechner (anderer IP-Bereich) ausprobiert. Kann also gut daran liegen, dass ich die IP für LDAp Antworten noch freigeben muss. Bin aber schon zu Hause und werde es morgen mal testen.
danke für die schnelle Antwort. Momenta “WLAN in grün”. Erst hab ich es direkt mit LDAP versucht und nicht hinbekommen, jetzt habe ich mal freeradius eingerichtet und damit hat es dann funktioniert.
der linuxmuster.net-Server bietet als Verzeichnisdienst openLDAP (und kein AD) an, d.h. du musst hier „posixAccount (rfc2307)“ angeben. Falls du keinen Bind-User verwendest, also einen „anonyme Abfrage“ machen willst, musst du Holger Tip beachten.
direkt mit LDAP habe ich es nicht hinbekommen, aber ich habe festgestellt mit dem freeradius ist das ja alles noch viel angenehmer. Jetzt kann ich bzw. können meine Lehrer ja den Zugriff über die Schulkonsole steuern. Das ist ja absolut spitze.
Jetzt muss der Accesspoint noch aus dem grünen Netz raus und dann bin ich zufrieden.
in der Zwischenzeit sind wir auf eine Unifi Lösung umgestiegen. Ich habe mich dabei an folgende Anleitung gehalten https://docs.linuxmuster.net/de/basiskurs/howtos/radius/index.html. Das hat ganz gut funktioniert. Ich habe jetzt ein grünes WLAN für die schulischen Endgeräte (da ist dann auch eine Domänenanmeldung möglich) mit WPA Personal und ein blaues WLAN mit WPA Enterprise. In dem Netz können sich Lehrer immer über freeradius anmelden, Schülerinnen und Schüler können über die Schulkonsole freigeschaltet werden und sich dann mit ihren Zugangsdaten aus dem pädagogischen Netz anmelden.
