paedML Linux 6.0 | Aerohive-LDAP-Anbindung

german

#1

Hallo zusammen,

ich habe eine etwas speziellere Frage bzgl. des LDAP der paedML und die Anbindung von Aerohive-WLAN-Geräten.

Aktueller Stand:
Wir haben es bisher geschafft, den Aerohive-Branch-Router am LDAP anzubinden und alle in der paedML vorhandenen Schüler/Lehrer unterhalb users/schule auszulesen. Der BR hat zudem ein Standbein in der paedML, bzw. im Hauptnetz 10.1.0.0 und ist erreichbar.

Was nicht funktioniert:
Die Abfrage des Aerohive-internen Radius an den LDAP der paedML. Die Benutzer werden zwar erkannt, allerdings bekommen wir durch die Bank weg ein Access-reject. Haben wir auch schon gegengeprüft, indem wir einen Fake-Benutzer abfragen, hier sieht die Fehlermeldung anders aus.
Die Logs des Aerohive-BR sind allerdings auch nicht sehr aussagekräftig, das Einzige, was angezeigt wird, ist, dass es anscheinend ein Problem mit dem Passwortformat in MSCHAPv2 gibt:

2016-07-25 11:29:40 warn radiusd[9484]: RADIUS: MS-CHAPv2 auth failed: possible reason MS-CHAP2-Response for user ‘gast01’ is incorrect
2016-07-25 11:29:40 warn radiusd[9484]: RADIUS: The RADIUS server rejected user ‘gast01’ through the NAS at 172.18.170.150.
2016-07-25 11:29:40 warn ah_auth: Access-Reject
2016-07-25 11:29:40 info ah_auth: radclient: Radius server 172.18.170.150 rejected the user gast01

Die IP 172.18.170.150 hat der BR in seinem Management-Netzwerk, in welchem er mit den anderen Access-Points kommuniziert.

Nun meine Frage: Gibt es in der paedML irgendwo Logs, die notieren, wenn versucht wird, sich am LDAP zu authentifizieren? Bei den üblichen Verdächtigen unter >/var/log/< und >/var/log/univention< bin ich alles durchgegangen, konnte allerdings nichts finden. Ideal wäre es natürlich, wenn es jemanden gibt, der auch eine Aerohive-Infrastruktur mit einem UCS am Laufen hat.

Vielen Dank im Voraus.


#2

Kann geschlossen werden, der LDAP-Benutzer, der den Handshake macht, hatte nicht genug Berechtigungen… Mit dem direkten Administrator läuft nun auch die Aerohive-eigene Radius-Anbindung.