Moin,
Das ist korrekt. Die Univention-Radius-Integration sieht ausschließlich vor, dass man Benutzern einzeln erlauben kann, sich via Radius zu authentifizieren. Weitere Differenzierungsmöglichkeiten gibt es bei der Standard-Integration hingegen nicht.
Ja, das geht. Univention verwaltet Konfigurationsdateien von Diensten wie dem Radius-Server über einen Template-Mechanismus, der die Konfigurationsdateien anhand der Univention-Konfigurationsvariablen neu erzeugt. Dabei gehen eigene Änderungen verloren.
Allerdings ist man nicht gezwungen, die Univention-Integration zu nutzen. Unter der Haube ist Univention auch nur ein aufgebohrtes Debian. Wenn man sich das freeradius-Paket manuell installiert und eben nicht die Radius-App aus dem App-Center nimmt, so kann man den Radius-Server so konfigurieren, wie man möchte.
Nachteil ist, dass in dem Moment aber auch keine Integration in die Univention Management Console (das Web-Verwaltungs-Interface) mehr vorhanden ist, sprich die Checkboxen, dass sich ein Benutzer via Radius authentifizieren darf, sind dann nicht mehr da. Das kann für Sie aber auch von Vorteil sein. Wenn Sie z.B. zwei Checkboxen wollen (eine für jedes VLAN), so hilft die eine Checkbox der Radius-App ja nicht weiter.
Für solche individuellen LDAP-Anpassungen bietet Univention die sogenannten »erweiterten Attribute«, eine LDAP-Objektklasse mit frei zu verwendenden Attributen. Diese kann man so konfigurieren, dass sie in der UMC z.B. in der Benutzerverwaltung als freundliche Checkboxen erscheinen, und in der Radius-Konfiguration kann man dann auf sie filtern. Zu den erweiterten Attributen gibt es ein Kapitel in der Dokumentation.
Gruß,
mosu
