Hallo Klaus,
vielen Dank für Dein Feedback, ich habe die Doku nun so angepasst, dass es zum angepassten Radius Setup von @thomas passt. Müsste gleich aktualisiert sein 
VG
Chris
Hallo,
ich bin gerade dabei die Schule auf linuxmuster umzustellen und jetzt hängt es bei der WPA2 Enterprise Authentifizierung.
Ich habe beide Setups die hier beschrieben sind ausprobiert. Also einmal über OPNsense und einmal auf dem Server(docker Host habe ich nicht konfiguriert)
Beim Debugmodus an den Radius Servern sehe ich:
OPNsense:
LDAP wird versucht:
rlm_ldap (ldap): Reserved connection (1)
(8) ldap: EXPAND (&(objectClass=person)(sAMAccountName=%{%{Stripped-User-Name}:-%{User-Name}})(memberOf=CN=wifi,OU=*))
(8) ldap: --> (&(objectClass=person)(sAMAccountName=tester)(memberOf=CN=wifi,OU=*))
(8) ldap: Performing search in "OU=SCHOOLS,DC=fzi,DC=lan" with filter "(&(objectClass=person)(sAMAccountName=tester)(memberOf=CN=wifi,OU=*))", scope "sub"
(8) ldap: Waiting for search result...
(8) ldap: User object found at DN "CN=tester,OU=Teachers,OU=default-school,OU=SCHOOLS,DC=fzi,DC=lan"
(8) ldap: Processing user attributes
(8) ldap: WARNING: No "known good" password added. Ensure the admin user has permission to read the password attribute
(8) ldap: WARNING: PAP authentication will *NOT* work with Active Directory (if that is what you were trying to configure)
rlm_ldap (ldap): Released connection (1)
(8) [ldap] = okAuf dem Server wird ntlm_auth versucht, so wie es laut Anleitung konfiguriert ist:
(1) Found Auth-Type = ntlm_auth
(1) # Executing group from file /etc/freeradius/3.0/sites-enabled/default
(1) authenticate {
(1) ntlm_auth: Executing: /usr/bin/ntlm_auth --request-nt-key --domain=FZI --username=%{mschap:User-Name} --password=%{User-Password}:
(1) ntlm_auth: EXPAND --username=%{mschap:User-Name}
(1) ntlm_auth: --> --username=tester
(1) ntlm_auth: EXPAND --password=%{User-Password}
(1) ntlm_auth: --> --password=
(1) ntlm_auth: ERROR: Program returned code (1) and output 'NT_STATUS_WRONG_PASSWORD: When trying to update a password, this return status indicates that the value provided as the current password is not correct. (0xc000006a)'
(1) [ntlm_auth] = reject
(1) } # authenticate = reject
(1) Failed to authenticate the userEin radtest liefert bei beiden Setups
Received Access-Accept Id 97 from 10.0.0.254:1812 to 0.0.0.0:0 length 20
Received Access-Accept Id 100 from 10.0.0.1:1812 to 0.0.0.0:0 length 20
Der Client liefert offenbar kein Passwort. Stimmt mein Setup, bzw. funktionieren die offiziellen Dokus bei jemandem?
Danke und viele Grüße
Klaus
Hallo Klaus,
wir haben letztes Jahr versucht den RADIUS der OPNsense für unifi zu
verwenden: das hat nicht geklappt.
Es soll mit anderen Lösungen inzwischen gehen (nicht mit unifi).
Ob es inzwischen auch mit unifi geht, kann ich nciht sagen: ich setzte
das anders um.
LG
Holger
Hallo Holger,
danke für die schnelle Rückmeldung!
Ich habe hier 2 verschiedene Accesspoints probiert, TP-Link und D-Link. Beide Male dieselbe Fehlermeldung. Ich glaube nicht, daß es an den Accesspoints liegt.
Welche Lösung hast Du?
Viele Grüße
Klaus
Ja, bei uns läuft es, so wie in der Doku beschrieben. Das letzte linuxmuster-base7 update hat allerdings den Eintrag, der in der /etc/smb.conf vorgenommen werden musste, wieder rausgeworfen. Schau mal, ob der noch da ist.
Wir haben den freeradius auch direkt auf dem Server mit laufen und es funktioniert soweit ohne weitere Probleme.
vG Stephan
Hallo Stephan,
danke! Welche Accesspoints hast Du?
Viele Grüße
Klaus
Cisco WLC mit entsprechenden APs.
Hallo Klaus,
hast du die Einstellungen, die Dominik damals vorgestellt hatte, beachtet?
Das war seinerzeit hier:
Später gab es noch eine Ergänzung bzgl V2 in diesem Thread:
hth,
Michael
Ich sitze auch weiterhin an diesem Problem …
Wenn ich ``sophomorix-managementgroup -iv
verwende, sehe ich, dass z.Z 102 teacher und 5 students in der Gruppe wifi sind.
Kann ich mir auch anzeigen lassen, welche User/Logins das sind?
Hallo Michael,
wie das mit sophomorix tools geht, weiß ich nicht, aber so geht es auf alle Fälle:
samba-tool group listmembers wifi
Viele Grüße
Klaus
Ok, damit sehe ich aber leider auch noch nicht, welche der Logins nun den Schülern gehören, da einfach alle gelistet werden
Hab’s – so bekommt man die gesuchten Infos:
sophomorix-managementgroup -i -m wifi -v
bzw gefiltert:
sophomorix-managementgroup -i -m wifi -v | grep Students | awk -F , '{print $1","$2}' | nl
