Hallo zuammen,
ich experimentiere zur Zeit ein Bisschen mit WPA2/3-Enterprise.
Der Radius macht genau das was er soll. Er sendet ein Access-Accept nur wenn der User in der Gruppe wifi ist.
Jetzt habe ich festgestellt, dass wenn ein User mit seinem Gerät im WLAN ist und er sich mit dem gleichen Gerät nochmal anmeldet, fragt der Unifi-Controller (bzw. der AP) nicht mehr beim Radius nach, ob der User noch in der Grupp wifi ist. Der User kann sich einfach anmelden.
Das ist dann doof, wenn man einem Schüler das WLAN sperren möcht.
Hat jemand einen Tipp, wie man Unifi dazu bringen kann, beim Radius nachzufragen?
Gruß
Mathias
Hallo zusammen,
hier noch eine Beobachtung. Wenn ich den AP neu starte, fragt er beim Radius nach und lässt einen User, der nicht in der Gruppe Wifi ist nicht mehr ins WLAN.
ich vermute dass du eine augenblickliche internetsperre nur über den squid erreichst, oder? wer im wlan drin ist, ist drin solange die session aktiv ist… da wird ja nicht neu nachgefragt… oder?
Die Threads von Michael sind ein bissle lang mit vielen (guten) Infos. Da hab ich mir schwergetan die relevante Info zur Beantwortung der Frage rauszufiltern.
Ja, grundsätzlich schon, aber man muss aufpassen, ob gerade über Nutzer oder über Geräte gesprochen wird. Bei 802.1X wird nicht „der Nutzer“ berechtigt, sondern eine Session eines WLAN-Clients, die auf einer Nutzeridentität basiert. Daraus ergeben sich unterschiedliche Fälle:
Selbes Gerät, selber Nutzer
Die bestehende Session (PMK/PTK, also der aus der 802.1X-Authentifizierung abgeleitete WPA-Schlüssel) wird wiederverwendet, solange sie nicht abläuft oder aktiv beendet wird. Kein erneuter RADIUS-Request, da PMK Caching Bestandteil von 802.11 ist.
Anderes Gerät, selber Nutzer
Neuer WLAN-Client, neue 802.1X-Session, neue RADIUS-Anfrage
Ob die Nutzerattribute dabei aus einem Cache kommen oder erneut vom Verzeichnisdienst (LDAP o. ä.) abgefragt werden, hängt von der Konfiguration der Nutzerquelle im RADIUS-Server ab.
Selbes Gerät, anderer Nutzer
Es könnte ja Leihgeräten geben, wo der Nutzer seine Zugangsdaten eintragen soll.
Ob hier tatsächlich neu authentifiziert wird, hängt u. a. vom EAP-Typ (PEAP vs. EAP-TLS) und vom Credential-Caching auf dem Client ab.
Anderes Gerät, anderer Nutzer
neue Session, neue Authentifizierung, neue Autorisierung.
Damit ließe sich prinzipiell folgendes Vorgehen umsetzen:
Ein Skript wertet regelmäßig die Accounting-Daten des RADIUS-Servers aus und prüft, ob die Nutzer noch berechtigt sind. Ist das nicht mehr der Fall, wird per CoA ein Disconnect an den jeweiligen AP ausgelöst.
Ich empfehle das aber erst mit einem einzelnen AP zu testen denn die Implementierungen der Hersteller unterscheiden sich und der Teufel steckt meist im Detail.