Radius mehrere Netzwerke

german
ucs-4-2
#1

Hallo,

ich teste gerade UCS 4.2 und habe noch ein paar Fragen zum Radius Server.

So wie ich das bis jetzt sehe, kann man über die UCS Oberfläche nur einzelnen Usern/Gruppen erlauben, sich am Netzwerk zu authentifizieren. Gibt es da noch mehr möglichkeiten? Bzw kann man den Freeradius server auch komplett selber konfigurieren, ohne dass UCS die Konfiguration irgendwann wieder überschreibt?

Ziel ist es, dass ich 2 VLANs habe, die für unterschiedliche Nutzer freigegeben sind. z.B. Nutzer 1 kann sich im internen und GastNetz anmelden, Nutzer 2 nur im Gastnetz (geschützt durch ein Captive Portal)

Für die Trennung müsste ich ja unterschiedliche Berechtigungen festlegen. Geht das über die UCS Oberfläche oder muss ich direkt in der Freeradius Konfiguration Gruppen etc. anlegen (die sich hoffentlich mit Domänengruppen mischen lassen)

Danke!

Grüße,
Nico

#2

Moin,

Das ist korrekt. Die Univention-Radius-Integration sieht ausschließlich vor, dass man Benutzern einzeln erlauben kann, sich via Radius zu authentifizieren. Weitere Differenzierungsmöglichkeiten gibt es bei der Standard-Integration hingegen nicht.

Ja, das geht. Univention verwaltet Konfigurationsdateien von Diensten wie dem Radius-Server über einen Template-Mechanismus, der die Konfigurationsdateien anhand der Univention-Konfigurationsvariablen neu erzeugt. Dabei gehen eigene Änderungen verloren.

Allerdings ist man nicht gezwungen, die Univention-Integration zu nutzen. Unter der Haube ist Univention auch nur ein aufgebohrtes Debian. Wenn man sich das freeradius-Paket manuell installiert und eben nicht die Radius-App aus dem App-Center nimmt, so kann man den Radius-Server so konfigurieren, wie man möchte.

Nachteil ist, dass in dem Moment aber auch keine Integration in die Univention Management Console (das Web-Verwaltungs-Interface) mehr vorhanden ist, sprich die Checkboxen, dass sich ein Benutzer via Radius authentifizieren darf, sind dann nicht mehr da. Das kann für Sie aber auch von Vorteil sein. Wenn Sie z.B. zwei Checkboxen wollen (eine für jedes VLAN), so hilft die eine Checkbox der Radius-App ja nicht weiter.

Für solche individuellen LDAP-Anpassungen bietet Univention die sogenannten »erweiterten Attribute«, eine LDAP-Objektklasse mit frei zu verwendenden Attributen. Diese kann man so konfigurieren, dass sie in der UMC z.B. in der Benutzerverwaltung als freundliche Checkboxen erscheinen, und in der Radius-Konfiguration kann man dann auf sie filtern. Zu den erweiterten Attributen gibt es ein Kapitel in der Dokumentation.

Gruß,
mosu