Hi,
Ja, grundsätzlich schon, aber man muss aufpassen, ob gerade über Nutzer oder über Geräte gesprochen wird. Bei 802.1X wird nicht „der Nutzer“ berechtigt, sondern eine Session eines WLAN-Clients, die auf einer Nutzeridentität basiert. Daraus ergeben sich unterschiedliche Fälle:
- Selbes Gerät, selber Nutzer
Die bestehende Session (PMK/PTK, also der aus der 802.1X-Authentifizierung abgeleitete WPA-Schlüssel) wird wiederverwendet, solange sie nicht abläuft oder aktiv beendet wird. Kein erneuter RADIUS-Request, da PMK Caching Bestandteil von 802.11 ist. - Anderes Gerät, selber Nutzer
Neuer WLAN-Client, neue 802.1X-Session, neue RADIUS-Anfrage
Ob die Nutzerattribute dabei aus einem Cache kommen oder erneut vom Verzeichnisdienst (LDAP o. ä.) abgefragt werden, hängt von der Konfiguration der Nutzerquelle im RADIUS-Server ab. - Selbes Gerät, anderer Nutzer
Es könnte ja Leihgeräten geben, wo der Nutzer seine Zugangsdaten eintragen soll.
Ob hier tatsächlich neu authentifiziert wird, hängt u. a. vom EAP-Typ (PEAP vs. EAP-TLS) und vom Credential-Caching auf dem Client ab. - Anderes Gerät, anderer Nutzer
neue Session, neue Authentifizierung, neue Autorisierung.
Das RADIUS-Protokoll sieht außerdem vor, dass der RADIUS-Server aktiv in bestehende Sessions eingreifen kann, z. B. um sie vorzeitig zu beenden. Das läuft über Change of Authorization (CoA, RFC 5176), in der Praxis meist als Disconnect-Request:
https://www.freeradius.org/documentation/freeradius-server/4.0.0/howto/protocols/radius/using_coa.html
UniFi unterstützt CoA grundsätzlich ebenfalls:
Damit ließe sich prinzipiell folgendes Vorgehen umsetzen:
Ein Skript wertet regelmäßig die Accounting-Daten des RADIUS-Servers aus und prüft, ob die Nutzer noch berechtigt sind. Ist das nicht mehr der Fall, wird per CoA ein Disconnect an den jeweiligen AP ausgelöst.
Ich empfehle das aber erst mit einem einzelnen AP zu testen denn die Implementierungen der Hersteller unterscheiden sich und der Teufel steckt meist im Detail.
VG
Buster