-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Hallo Björn!
Haben wir uns am Donnerstag auf der Didakta unterhalten und ich konnte
dir dort nicht helfen?
Ich habe jetzt in unserer Doku nachgesehen und habe den Eintrag aus 2015
gefunden, als wir die Netzint-Erweiterung eingebaut haben. An ein paar
Stellen habe ich Anpassungen vorgenommen. Außerdem waren nicht alle
Eintragungen logisch. Ich hoffe, ich habe nicht zu viel korrigiert und
das stimmt jetzt so:
Authentifizierung über Unifi-APs (05.11.2015)
Unifi-Controller
zusätzliche Pakete unifi-beta und netzint-unifi-auth
mit Paketquellen
deb http://www.ubnt.com/downloads/unifi/debian stable ubiquiti
deb http://pkg.netzint.de/ precise main
Änderungen der Konfiguration in /var/www/guest/s/default/maincfg.php
<snip>
<?php
// Unfi Connection
$unifiServer = "https://127.0.0.1:8443";
$unifiUser = "unifi";
$unifiPass = "*****************";
$unifiVersion = "4"; // 3,4
$unifiSite = "default"; // default
$unifiAuthTime = "1440"; // in min.
$unifiWaitTime = "16"; //time for authorisazion wait in Seconds
// MySQL Database Connection OPTIONAL (BETA)
$dbServer = 'localhost';
$dbUser = 'unifi';
$dbPassword = 'changeme';
$dbName = 'unifi';
// LDAP Server
$ldap_type = "LMN"; // LMN (linuxmuster.net) or AD (MS ActiceDirectory)
$ldap_host = "10.32.1.1, 636"; // LDAP-Server IP/Hostname
$ldap_version = "3"; //LMN 3, AD X
$ldap_dn = "dc=bszleo,dc=de"; // LMN dc=linuxmuster-net,dc=lokal, AD
CN=Users,DC=domain,DC=local
$ldap_user_group = "p_wlan"; // Valid Group secondary, example: LMN
p_wifi, AD WifiAllow
$ldap_manager_group = "teachers"; // Valid Group primary, example: LMN
teachers, AD WifiAdmins
$ldap_usr_dom = ""; // Domain, for purposes of constructing $user; LMN
"" , AD @domain.local
//
Logging
$log_file = "/var/log/netzint/UnifiLdapAuth.log"; // Path to Logfile
(must exist and have to be writeable)
//
Terms
$terms_file = "terms.html" // Path to
Termsfile
?>
<snap>
/var/www/guest/s/default/terms.html -> Nutzungsvereinbarungen
ldap-Zugriff auf Schulserver erlauben:
zusätzlicher Eintrag in /etc/ldap/slapd.conf
<snip>
access to
attrs=sambaLMPassword,sambaNTPassword,sambaPwdLastSet,sambaPwdMustChange,sambaAcctFlags,userPassword
by anonymous peername.ip=10.32.1.254 auth
by anonymous peername.ip=10.32.1.1 auth
by anonymous peername.ip=10.32.1.122 auth <<<<<-----
unifi-controller
by anonymous peername.ip=127.0.0.1 auth
<snap>
/etc/init.d/slapd restart
Einstellung in Unifi-Controller
-> Settings -> Guest Controll -> Enable Guest Portal; Custom Portal:
10.32.1.122 (IP-Adresse des Unifi-Controllers im Netz), Portal URL:
unifi, Access Control: Restricted: 192.168.0.0/16; 172.16.0.0/16;
10.0.0.0/9, Allowed: 10.1.254.254/32 (=ip des Unifi-Controler
-> Settings -> User Group -> Traffic beschränken (down- und upload)
-> …
Logging u.a. in /var/log/netzint/UnifiLdapAuth.log
Managementnetz für APs und Switche -> VLAN *****
192.168.***.***
WLAN-Netz mit AP-Authentifizierung auf Blau von Ipfire (172.16.175.254)
172.16.165.254/255.255.240.0
DHCP-Range: 172.16.160.0-172.16.175.255 (4094 Adressen)
Gruß - Rainer
Eine Ergänzung dazu - hat oben gefehlt:
Konfiguration Freeradius auf dem unifi-controller:
Vorgehensweise s. LML Wiki & Forum:
https://www.linuxmuster.net/wiki/anwenderwiki:freeradius
http://www.linuxmuster.net/forum/forum.php?req=thread&id=963&unb661sess=dgjmqshljif89p6014bb97etr6
freeradius installieren
apt-get install freeradius freeradius-ldap freeradius-utils
Konfiguration:
/etc/freeradius/clients
…
#Freigabe aller APs im Managementnetz
client 192.168.0.0/24 {
secret = testXXXXX
shortname = unifi
}
…
/etc/freeradius/modules/ldap
…
ldap {
#
# Note that this needs to match the name in the LDAP
# server certificate, if you’re using ldaps.
server = “10.32.1.1”
#identity = “cn=admin,dc=bszleo,dc=de”
#password = mypass
basedn = "dc=bszleo,dc=de"
filter = "(uid=%u)"
base_filter = "(objectclass=posixAccount)"
groupname_attribute = cn
groupmembership_filter = (&(objectclass=posixGroup)(memberUid=%u))
…
/etc/freeradius/sites-avaiable/default & /etc/freeradius/sites-available/inner-tunnel gleich anpassen
…
authorize {
…
# auskommentiert ldap
ldap
}
…
post-auth {
LDAP Gruppen freigeben
if (LDAP-Group == "p_wlan") {
noop
}
elsif (LDAP-Group == "teachers") {
noop
}
else {
reject
}
…
neues WLAN im Unifi Controller
SSID: BSZLeonbergLogin
Sicherheit: WPAEAP
VLAN: xxx
RADIUS Auth Server: 192.168.0.254 Port: 1812
WPA2 AES
Konfiguration am Client:
EAP-Methode: TTLS (getunneltes TLS)
Phase 2-Authentifizierung: PAP
kein Zertifikat
Benutzer: Schullogin
Passwort: Schullogin