Unifi: WLAN abschalten über Schulkonsole

garblixa · 29. Juli 2020 um 14:05

Hallo,

ich bin gerade dabei die Schule auf linuxmuster umzustellen und jetzt hängt es bei der WPA2 Enterprise Authentifizierung.
Ich habe beide Setups die hier beschrieben sind ausprobiert. Also einmal über OPNsense und einmal auf dem Server(docker Host habe ich nicht konfiguriert)

Beim Debugmodus an den Radius Servern sehe ich:
OPNsense:
LDAP wird versucht:

rlm_ldap (ldap): Reserved connection (1)
(8) ldap: EXPAND (&(objectClass=person)(sAMAccountName=%{%{Stripped-User-Name}:-%{User-Name}})(memberOf=CN=wifi,OU=*))
(8) ldap:    --> (&(objectClass=person)(sAMAccountName=tester)(memberOf=CN=wifi,OU=*))
(8) ldap: Performing search in "OU=SCHOOLS,DC=fzi,DC=lan" with filter "(&(objectClass=person)(sAMAccountName=tester)(memberOf=CN=wifi,OU=*))", scope "sub"
(8) ldap: Waiting for search result...
(8) ldap: User object found at DN "CN=tester,OU=Teachers,OU=default-school,OU=SCHOOLS,DC=fzi,DC=lan"
(8) ldap: Processing user attributes
(8) ldap: WARNING: No "known good" password added. Ensure the admin user has permission to read the password attribute
(8) ldap: WARNING: PAP authentication will *NOT* work with Active Directory (if that is what you were trying to configure)
rlm_ldap (ldap): Released connection (1)
(8)       [ldap] = ok

Auf dem Server wird ntlm_auth versucht, so wie es laut Anleitung konfiguriert ist:

(1) Found Auth-Type = ntlm_auth
(1) # Executing group from file /etc/freeradius/3.0/sites-enabled/default
(1)   authenticate {
(1) ntlm_auth: Executing: /usr/bin/ntlm_auth --request-nt-key --domain=FZI --username=%{mschap:User-Name} --password=%{User-Password}:
(1) ntlm_auth: EXPAND --username=%{mschap:User-Name}
(1) ntlm_auth:    --> --username=tester
(1) ntlm_auth: EXPAND --password=%{User-Password}
(1) ntlm_auth:    --> --password=
(1) ntlm_auth: ERROR: Program returned code (1) and output 'NT_STATUS_WRONG_PASSWORD: When trying to update a password, this return status indicates that the value provided as the current password is not correct. (0xc000006a)'
(1)     [ntlm_auth] = reject
(1)   } # authenticate = reject
(1) Failed to authenticate the user

Ein radtest liefert bei beiden Setups
Received Access-Accept Id 97 from 10.0.0.254:1812 to 0.0.0.0:0 length 20
Received Access-Accept Id 100 from 10.0.0.1:1812 to 0.0.0.0:0 length 20

Der Client liefert offenbar kein Passwort. Stimmt mein Setup, bzw. funktionieren die offiziellen Dokus bei jemandem?

Danke und viele Grüße
Klaus