Unifi-Controller - Freeradius - AD-Zugriff

Hallo zusammen,

kommenden Montag wollen wir mit der v7 in Produktivbetrieb gehen. Leider bekomme ich den WLAN Zugang via Radius nicht ans Laufen.

Der neue Controller ist soweit vorbereitet. WPA2 WLAN via Opensense (ehemals blau) funktioniert.
Unser Controller hat zwei Interfaces:

  • WLAN Management 192.168.0.0/24 (Controller macht DHCP), hat keinen Internetzugriff, kommt bei den APs untagged an.

  • DMZ: erreicht, den Majestix von außen, Internetzugriff. Controller selbst ist aber auch hinter einer Firewall und nicht von außen erreichbar.

Zwecks Anleitungen habe ich mich an folgenden orientiert:

  1. Radius von v6.2: http://docs.linuxmuster.net/de/latest/systemadministration/network/radius/index.html (bei v7 fehlt dort aktuell die Doku)
  2. ntlm_auth von @foer: Anleitung/Tipp: Radius Peap-Mschapv2 mit ntlm_auth für WPA2-Enterprise

Kann 1. generell noch funktionieren oder passt das mit AD gar nicht mehr zusammen? Eine Verbindung mit unserem neuen lmn7-Server scheint geklappt zu haben. Der User wird aber abgelehnt:

 (6) files: Searching for user in group "cn=wifi,ou=Management,ou=default-school,ou=SCHOOLS,dc=XXXXXX,dc=de"
 rlm_ldap (ldap): Reserved connection (0)
 (6) files: EXPAND (uid=%{%{Stripped-User-Name}:-%{User-Name}})
 (6) files:    --> (uid=testuser)
 (6) files: Performing search in "dc=example,dc=org" with filter "(uid=testuser)", scope "sub"
 (6) files: Waiting for search result...
 (6) files: The specified DN wasn't found
 (6) files: Search returned no results
 rlm_ldap (ldap): Released connection (0)
 Need 5 more connections to reach 10 spares
 rlm_ldap (ldap): Opening additional connection (5), 1 of 27 pending slots used
 rlm_ldap (ldap): Connecting to ldap://XXXXXXXX.XXXXXX.de:389
 rlm_ldap (ldap): Waiting for bind result...
 rlm_ldap (ldap): Bind successful

Daher die Frage, kann man sich noch an der 6.2er Doku orientieren und es darüber ans Laufen bekommen?

Zu 2.: bei uns läuft der Freeradius nicht auf dem lmn7-Server, da bei uns das pädagogische Netz nicht das Wifi-Management-Netz ist. Daher läuft Freeradius auf dem Controller (Ubuntu 18.04). Damit ich überhaupt ntlm_auth habe, musste ich aber auch samba installieren. In diesem Zusammenhang hagelt es dann auch Fehler:

Winbindd lookupname failed to resolve XXXXXX.de\wifi into a SID!
===============================================================
INTERNAL ERROR: Signal 11 in pid 19271 (4.7.6-Ubuntu)
Please read the Trouble-Shooting section of the Samba HOWTO
===============================================================
PANIC (pid 19271): internal error
BACKTRACE: 13 stack frames:

Über sachdienliche Hinweise bin ich dankbar.

LG
Christoph

Hallo Christoph,

Kann 1. generell noch funktionieren oder passt das mit AD gar nicht mehr
zusammen?

eigentlich ist der Link 2 die Anleitung von Link 1 angepaßt auf die lmn7.

Eine Verbindung mit unserem neuen lmn7-Server scheint geklappt
zu haben. Der User wird aber abgelehnt:

(6) files: Searching for user in group
„cn=wifi,ou=Management,ou=default-school,ou=SCHOOLS,dc=XXXXXX,dc=de“
rlm_ldap (ldap): Reserved connection (0) (6) files: EXPAND
(uid=%{%{Stripped-User-Name}:-%{User-Name}}) (6) files: -->
(uid=testuser) (6) files: Performing search in „dc=example,dc=org“ with
filter „(uid=testuser)“, scope „sub“ (6) files: Waiting for search
result… (6) files: The specified DN wasn’t found (6) files: Search
returned no results rlm_ldap (ldap): Released connection (0) Need 5 more
connections to reach 10 spares rlm_ldap (ldap): Opening additional
connection (5), 1 of 27 pending slots used rlm_ldap (ldap): Connecting
to ldap://XXXXXXXX.XXXXXX.de:389 rlm_ldap (ldap): Waiting for bind
result… rlm_ldap (ldap): Bind successful |

der wird abgelehnt, weil die search DN nicht gefunden wird.
Heißt eure samba Domain wirklich
example.org
?

… eher unwahrscheinlich …

Daher die Frage, kann man sich noch an der 6.2er Doku orientieren und es
darüber ans Laufen bekommen?

nimm lieber Link 2: das ist angepaßt.

Zu 2.: bei uns läuft der Freeradius nicht auf dem lmn7-Server, da bei
uns das pädagogische Netz nicht das Wifi-Management-Netz ist. Daher
läuft Freeradius auf dem Controller (Ubuntu 18.04). Damit ich überhaupt
ntlm_auth habe, musste ich aber auch samba installieren. In diesem
Zusammenhang hagelt es dann auch Fehler:

Tja: dann hast du nun zwei Möglichkeiten:

  1. du läßt dein Netz wie es ist, und entwickelst eine weitere Art der
    Anbindung des freeradius an die lmn7.

  2. du änderst dein Netz zu dem, wie es hier mehrere Leute schon haben
    und nimmst die Anleitung aus Link 2.

Ich trau mir nicht zu 1) zu machen und kann da leider auch nicht helfen:
sorry.
Selbst hab ich unifi mit der Anleitung unter Link 2 per freeradius
angebunden.

LG

Holger

Hallo Holger,

vielen Dank für deine schnelle Antwort.

Wird für die AD-Anbindung zwingend das ntlm_auth Modul benötigt? Bzw. gibt es hier Menschen die es auch ohne dieses Modul angebunden bekommen haben?

+1

Aus welcher Config die example.org gezogen wird, ist mir noch schleierhaft. In der mods-enabled/ldap.conf sind unsere Verbindungsdaten drin, die ja auch für die erfolgreiche Verbindung genutzt werden. Außerdem war in der users-Konfigdatei der Versuch den Eintrag von der 6.2. anzupassen, um zu definieren, dass User aus der Gruppe wifi Zugriff haben (wurde später dann auf ntlm_auth angepasst).

Gibt es jemanden, der Freeradius nicht direkt auf der lmn7-Serverappliances laufen hat? Bzw. gerne auch ein Ping, wer erfolgreich das Setup von @baumhof und @foer am laufen hat.

LG
Christoph

PS Um ehrlich zu sein sehe ich das WLAN-Managementnetz nicht im pädagogischen Netz. Haben das hier auch die letzten vier Jahre erfolgreich am laufen…