Hi FAbian,
danke, du bist ja voll der Profi. Vllt. hast du im Parallelthread die Diskussion mitbekommen, dass mind. ein Entwickler nicht wünscht, dass in der Doku der „freeradius auf dem server“ als empfohlene default Variante drin steht.
Kannst du nicht deine Ansicht sagen, was ein gutes Vorgehen wäre.?
Ich erläutere mal, was ich meine:
- der standard-install-admin oder der dienstleister setzt einen freeradius auf. Je nachdem, ob der das auf der OpnSense, auf dem Unifi-Controller, auf einer eigenen VM oder auf dem Server macht, kommt beim Enduser ja ein anderes Zertifikat an. Bei mir z.B. jetzt das Zertifikat von „server“, weil ich es auf dem Server installiert hatte. Du würdest das Zertifikat per MDM in Apple einbauen bzw. ein FQDN als vertrauenswürdig markieren. Bei anderen Systemen geht das sicher auch (linux -> postsync, windows -> postsync o. opsi o. gruppenrichtlinien) usw.
- Dazu wundert es mich jetzt doch zusätzlich, dass so wie ich das nach Anleitung installiert habe, ich soviele verschiedene Verbindungsarten zu stande bekommen habe. Ich hätte vermutet, das es am sichersten ist, wenn man sich auf die sicheren Varianten beschränkt - und EAP-TTLS/PAP bedeutet doch, dass innerhalb der EAP-TTLS Handshake verschlüsselung mit PAP das Passwort (?) im Klartext übergeben wird? Von mir aus kann auch alles möglich „angeschalten“ bleiben, aber hast du deinen freeradius so eingeschränkt, dass nur deiner Ansicht nach sichere Verfahren zum Einsatz kommen?
- Dass irgendein Zertifikat auf alle Fälle abgenickt (oder „CA ignoriert“) werden muss, war mir nicht klar. Irgendwie hatte ich das Gefühl, dass nur EAP-TTLS so eine Validierung will. DAs sollte vllt. auch in die Anleitung
- Dass bei mir jetzt „server“ im Zertifikat steht und nicht „server.meine-domäne.de“ - das wundert mich, da ich ja nach der Anleitung gar nichts an Zertifikaten gemacht hatte - vermutlich ist das das snake-oil-zert.
Ich bin ziemlich euphorisch, dass das WLAN jetzt so reibungslos bei mir läuft, bin aber auch skeptisch, weil ich a.) der Anleitung folgend und weiterem Studium nicht guten Gewissens für die Sicherheit bürgen will (siehe oben, so viele Verfahren möglich) und b.) ich mit dem <<snake-oil-Zertifikat „server“ Abnicken>> meinen Kollegen nicht guten Gewissens die Vertrauenswürdigkeit meines WLANs verkaufen will und c.) es gerne auch richtig gemacht hätte und z.B. freeradius auf einem eigenen Server oder auf der OpnSense laufen lassen würde, dann meldet sich vermutlich derjenige Server mit seinen selbst-signierten Zertifikaten zurück.
Ist denn dann nicht eine kluge Empfehlung, wie bei zefanjas Blogeintrag eine CA + zertifikat zu erstellen mit „wlan.meine-schule.de“ und dann den Kollegen zu empfehlen, den Fingerprint zu vergleichen und abzunicken? also besser als „server“ wäre das allemal und laut deinen Aussagen auch besser, als ein letsencrypt zu nehmen und die Kollegen dahingehend gar nicht schulen.
Danke ,wenn du noch ein STatement abgeben könntest, so dass hinter den Doku-Empfehlungen auch ein schlüssiges Konzept steht.
VG, Tobias