WPA Enterprise und Einschränkung der Benutzer

zefanja · 11. September 2017 um 13:49

Hallo,

zur Zeit haben wir ein WLAN-Netz mit Captive Portal, an dem sich alle anmelden können, die in p_wifi sind (bei uns Oberstufenschüler, Lehrer und Mitarbeiter). Jetzt sind wir dabei ein weiteres Netz einzurichten, welches mit WPA Enterprise abgesichert sein soll. Dieses Netz soll nur für Kollegen und Mitarbeiter sein.

Gibt es eine Möglichkeit den Zugang nur auf Kollegen und Mitarbeiter zu beschränken (ohne Schüler)? Muss ich dazu ein neues Projekt oder eine neue Gruppe im LDAP anlegen? Kann ich in der Radius Konfiguration auch die Klassenbezeichnung als Gruppe angeben, d.h. ist diese Bezeichnung gleichzeitig auch der Name der LDAP-Gruppe?

Wie habt ihr das bei euch gelöst?
vG

rettich · 11. September 2017 um 14:36

Hallo Zefanja,

schau mal da.
Das was du suchst ist unter “Einrichtung des Schüler-WLANs” beschrieben. Nur dass du die Schüler nicht mit aufnimmst.

Gruß,

Mathias

zefanja · 11. September 2017 um 15:05

Hallo, danke für die schnelle Antwort. So ähnlich haben wir es bereits jetzt, nur das die Oberstufenschüler auch Zugang haben. Am liebsten wäre mir, wenn ich in der users.conf festlegen kann, wer im Captive-Portal und wer im WPA Enterprise Netz Zugang hat. Vielleicht kann man da was drehen entsprechend der NAS-IP z.B.

Vielleicht habe ich deinen Link aber nur falsch verstanden

rettich · 11. September 2017 um 17:39

Hallo Zefanja,

Bei uns steht in /etc/freeradius/users

DEFAULT Group == teachers
DEFAULT Group == p_wlan
DEFAULT Auth-Type := REJECT
    Reply-Message = "Sie dürfen momentan nicht auf das WLAN zugreifen."

Das heißt, dass man Zugriff erhält, wenn man entweder in der Gruppe teachers oder p_wlan ist.
Die Zugehörigkeit zu p_wlan wird ja über die Schulkonsole Klassen -> Unterricht gesteuert.
Man könnte da natürlich auch, wie bei der Gruppe teachers, die Gruppen der Kursstufenschüler mit aufnehmen.

Gruß,

Mathias

zefanja · 11. September 2017 um 22:39

Hi,

so ähnlich haben wir es auch. Ich möchte am Ende aber zwei Netze haben, ein “Gäste-Netz”, indem alle in p_wifi Zugriff haben, und ein weiteres per WPA-Enterprise abgesichertes Netz, indem sich nur Kollegen und Mitarbeiter anmelden dürfen. Dafür suche ich eine Lösung. Beide Netz, d.h. Captive Portal und WPA Enterprise, fragen den gleichen Radius-Server. Jetzt möchte ich dort gern unterscheiden können, wer in welchem Netz Zugriff hat. Geht das?

vG

Kai · 12. September 2017 um 08:56

Es gibt auch noch die Möglichkeit mit Netzint unifi-auth. Da brauchst du kein Radius. Es wird direkt gegen LDAP authentifiziert. Funktioniert aber nur mit Unifi, ich weiß nicht was für APs du hast.

zefanja · 12. September 2017 um 13:44

Ich habe es jetzt folgendermaßen gelöst. Das Captive Portal und unser Cisco Wireless Controller haben verschiedene NAS-IP-Address Werte (klar). Also habe ich folgendes im post-auth Abschnitt der /etc/freeradius/sites-enabled/default getan:

        if (NAS-IP-Address == 10.16.1.5) {
                if (LDAP-Group == "cn=teachers,ou=groups,dc=internal,dc=example,dc=com" || LDAP-Group == "cn=staff,ou=groups,dc=internal,dc=example,dc=com") {
                        noop
                }
                else {
                        reject
                }
        }

Damit klappt es jetzt