OPNsense FreeRADIUS

thomas · 19. Juli 2019 um 15:07

Moin!

Habe eine Anleitung für den OPNsense FreeRADIUS erstellt. Bis es eine entsprechende Appliance mit Setupintegration gibt, muss das Ding auf diese Weise mit der Hand am Arm eingerichtet werden.
Habe das allerdings bisher nur mit radclient getestet, nicht produktiv.

VG, Thomas

baumhof · 19. Juli 2019 um 20:19

Hallo Thomas,

Habe eine Anleitung für den OPNsense FreeRADIUS
https://github.com/linuxmuster/linuxmuster-base7/wiki/Setup-und-Inbetriebnahme-des-Systems#freeradius-einrichten
erstellt. Bis es eine entsprechende Appliance mit Setupintegration gibt,
muss das Ding auf diese Weise mit der Hand am Arm eingerichtet werden.
Habe das allerdings bisher nur mit /radclient/ getestet, nicht produktiv.

nach deiner Anleitung hat es bei mir und Dominik auch geklappt: bisher
auch nur mit radclient.

Die Frage wäre aber noch: liest der Radius in deiner config das AD Feld
„WLAN“ aus,?
Oder checkt es nur eine Gruppenzugehörigkeit.
Ich kann das nicht sicher erkennen.

Wir wollen ja am Ende erreichen, dass Lehrer immer und alle andern nur,
wenn man WLAN in der SchuKo eingeschaltet hat, ins WLAN kommen.
Wie ist das gedacht? Radius schaut nur nach dem Feld WLAN im AD und die
lmn7 sorgt dafür, dass das Feld bei Lehrern immer gesetzt ist und nicht
schaltbar ist?
Oder geht eine Kombo: schau nach dem Feld WLAN oder user ist in Gruppe X
(teachers)

LG

Holger

baumhof · 19. Juli 2019 um 21:16

Hallo Thomas,

Habe eine Anleitung für den OPNsense FreeRADIUS
https://github.com/linuxmuster/linuxmuster-base7/wiki/Setup-und-Inbetriebnahme-des-Systems#freeradius-einrichten
erstellt.

ich habe noch drei Anmerkungen zur Radius Doku:

LDAP config im Radius:
das global-binduser PWD steht bei mir nicht in der
/var/lib/linuxmuster/setup.ini.
Dort steht nur das beim Install vergebene global-admin Passwort (im
Klartext).
In der /etc/linuxmuster/.secret/global-binduser
steht das richtige Passwort.
Der Satz „Das Passwort des Bind-Users kann ebenfalls aus der Datei
geholt werden“ ist zumindest in meiner Testumgebung falsch.
Die beiden Bilder im Bereich LDAP sind nicht gleich vom Inhalt her.
Im „Textbild“ steht:
Basis DN OU=SCHOOLS,DC=linuxmuster,DC=lan
Im Bild selbst steht:
Basis DN DC=linuxmuster,DC=lan
Ich habe ersteres genommen: damit geht es.
die radtest Zeile besitzt am Ende ein das da wohl nicht hin gehört. echo "User-Name=zell,User-Password=Muster!" | radclient -x -P udp -s 10.0.0.254:1812 auth "Muster!"

Ich habe ein „do-it-like-babo“ setup: radtest funktioniert.

Die Doku ist super
Vielen Dank für die vielen Screenshots.

LG

Holger

baumhof · 19. Juli 2019 um 21:24

Hallo,

ach so: ich hab meinen radtest durchgeführt, nachdem ich die OPNsense
von 19.1.10 (oder so) direkt auf 19.7 upgedatet hatte.

LG

Holger

thomas · 20. Juli 2019 um 12:14

Hallo Holger,

das hast du natürlich recht, wir wollen ja den Wifi-Zugriff steuern. Das geschieht über die AD-Gruppe wifi. Also müssen wir den Benutzerfilter ergänzen:

(memberOf=CN=wifi*)

Ich habe die Anleitung entsprechend ergänzt.

VG, Thomas

thomas · 20. Juli 2019 um 12:18

Den Test habeich auch ergänzt:

Benutzer aus wifi-Gruppe rausnehmen und dann nochmal mit radclient authentifizieren.

VG, Thomas