Hallo zusammen,
ich habe, wie hier beschrieben, den Radius-Service auf dem LMN7-Server installiert. Läuft super
Da es gut wäre, wenn man ein selbstsigniertes Zertifikat benutzt, bin ich diese Anleitung durchgegangen.
Läuft super auf Android-Geräten. Man muss nur das CA-Zertifilat der CA von linuxmuster.lan auf das Android-Gerät hochladen und dann kann man sich wunderbar am WLAN anmelden.
Dazu habe ich die Datei /etc/linuxmuster/ssl/cacert.pem auf unsere Nextcloud gelegt und auf das Android-Gerät hochgeladen und installiert.
Und dann geht die Anmeldung am Netzwerk mit WPA2-Enterprise ohne Zertifikatswarnung. So sollte es sein.
Bei meinem IPad lieft das so: cacert.pen von der Nextcloud laden.
in der Zwischenzeit habe ich auch das Captive-Portal der OpnSense ausprobiert. Eigentlich auch ganz gut:
Die hier beschriebenen Probleme mit den Zertifikaten hat man nicht
Man kann über eine SSID eine Anmeldung (Captive-Portal halt), Voucher nutzen und Geräte zulassen, die nicht nach Benutzername und Passwort gefragt werden (Beamer oder Chrome-Casts …).
Was noch nicht läuft ist, dass das Gerät eines Schülers, der aus der wifi-Gruppe rausgenommen wurde, also wenn ein Kollege dem Schüler in der Schulkonsole das Internet sperrt, aus dem WLAN raus fliegt. Wer drin ist, ist drin. Der Schüler kann sich halt nicht neu anmelden.
Auf meinem Testsystem zickt mein IPad ein bisschen. Woran’s liegt weiß ich nicht.
Das Captive Portal der OpnSense ist auf jeden Fall eine Überlegung wert.
Und jetzt natürlich noch ein Kommentar zu den Apple-Geräten:
Auf der Apple-Supportseite steht:
Bei Vertrauenswürdigen Zertifikaten wird nicht gefragt, sondern einfach verbunden.
Dann gibt es Zertifikate vom Typ „Immer fragen“. Da wird immer gefragt, ob man ihm vertrauen möchte oder nicht.
Und dann gibt es noch Zertifikate, die als gefährlich eingestuft werden. Die werden immer abgelehnt.
Da das Radius-Zertifikat von der linuxmuster.lan-CA signiert wurde und die nicht in der offiziellen Liste der vertrauenswürdigen ROOT-Zertifikate steht, gehe ich mal davon aus, dass unser server-Zertifikat (server.linuxmuster.lan) immer abgenickt werden muss.
Interessant ist, dass wenn ich das server-Zertifikat radius.pem auf dem IPad installiere, diesem Zertifikat voll vertraut wird. Ganz ohne mein Zutun:
Aber auch damit muss ich beim verbinden mit dem WLAN dieses Zertifikat abnicken.
Für mich ist das eine Sicherheitslücke. Der Benutzer wird dazu genötigt, Zertifikate abzunicken. Egal, ob das IPad ihnen vertraut oder nicht. Aber genau das will man ja verhindern?!?
Hallo.
Das war aber schon „immer“ so! Auf dem guten alten Coova gab es dazu damals ein disconnect Script, das dann die aktiven Verbindungen der User auch wirklich getrennt hat. Erst dann waren sie wirklich draußen! (Unter UniFi habe ich sowas auch schon mal gesucht aber nicht mehr umgesetzt. Es wird bei uns mehr und mehr so sein, dass die Geräte einfach immer online sind — das trifft vor allem für die Tablets zu, die sonst ja auch gar nicht per MDM zu managen wären…)
Viele Grüße
Michael
