OPNsense FreeRADIUS

Moin!

Habe eine Anleitung für den OPNsense FreeRADIUS erstellt. Bis es eine entsprechende Appliance mit Setupintegration gibt, muss das Ding auf diese Weise mit der Hand am Arm eingerichtet werden.
Habe das allerdings bisher nur mit radclient getestet, nicht produktiv.

VG, Thomas

1 „Gefällt mir“

Hallo Thomas,

Habe eine Anleitung für den OPNsense FreeRADIUS
https://github.com/linuxmuster/linuxmuster-base7/wiki/Setup-und-Inbetriebnahme-des-Systems#freeradius-einrichten
erstellt. Bis es eine entsprechende Appliance mit Setupintegration gibt,
muss das Ding auf diese Weise mit der Hand am Arm eingerichtet werden.
Habe das allerdings bisher nur mit /radclient/ getestet, nicht produktiv.

nach deiner Anleitung hat es bei mir und Dominik auch geklappt: bisher
auch nur mit radclient.

Die Frage wäre aber noch: liest der Radius in deiner config das AD Feld
“WLAN” aus,?
Oder checkt es nur eine Gruppenzugehörigkeit.
Ich kann das nicht sicher erkennen.

Wir wollen ja am Ende erreichen, dass Lehrer immer und alle andern nur,
wenn man WLAN in der SchuKo eingeschaltet hat, ins WLAN kommen.
Wie ist das gedacht? Radius schaut nur nach dem Feld WLAN im AD und die
lmn7 sorgt dafür, dass das Feld bei Lehrern immer gesetzt ist und nicht
schaltbar ist?
Oder geht eine Kombo: schau nach dem Feld WLAN oder user ist in Gruppe X
(teachers)

LG

Holger

Hallo Thomas,

Habe eine Anleitung für den OPNsense FreeRADIUS
https://github.com/linuxmuster/linuxmuster-base7/wiki/Setup-und-Inbetriebnahme-des-Systems#freeradius-einrichten
erstellt.

ich habe noch drei Anmerkungen zur Radius Doku:

  1. LDAP config im Radius:
    das global-binduser PWD steht bei mir nicht in der
    /var/lib/linuxmuster/setup.ini.
    Dort steht nur das beim Install vergebene global-admin Passwort (im
    Klartext).
    In der /etc/linuxmuster/.secret/global-binduser
    steht das richtige Passwort.
    Der Satz “Das Passwort des Bind-Users kann ebenfalls aus der Datei
    geholt werden” ist zumindest in meiner Testumgebung falsch.

  2. Die beiden Bilder im Bereich LDAP sind nicht gleich vom Inhalt her.
    Im “Textbild” steht:
    Basis DN OU=SCHOOLS,DC=linuxmuster,DC=lan
    Im Bild selbst steht:
    Basis DN DC=linuxmuster,DC=lan
    Ich habe ersteres genommen: damit geht es.

  3. die radtest Zeile besitzt am Ende ein das da wohl nicht hin gehört. echo "User-Name=zell,User-Password=Muster!" | radclient -x -P udp -s 10.0.0.254:1812 auth "Muster!"

Ich habe ein “do-it-like-babo” setup: radtest funktioniert.

Die Doku ist super :slight_smile:
Vielen Dank für die vielen Screenshots.

LG

Holger

Hallo,

ach so: ich hab meinen radtest durchgeführt, nachdem ich die OPNsense
von 19.1.10 (oder so) direkt auf 19.7 upgedatet hatte.

LG

Holger

Hallo Holger,

das hast du natürlich recht, wir wollen ja den Wifi-Zugriff steuern. Das geschieht über die AD-Gruppe wifi. Also müssen wir den Benutzerfilter ergänzen:

(memberOf=CN=wifi*)

Ich habe die Anleitung entsprechend ergänzt.

VG, Thomas

Den Test habeich auch ergänzt:

  • Benutzer aus wifi-Gruppe rausnehmen und dann nochmal mit radclient authentifizieren.

VG, Thomas