Hi,
ich experimentiere gerade mit dem Univention Radius Modul und 802.1x Authentication. Mein Setup entspricht in etwa dem hier beschriebenen https://www.univention.de/blog-de/2017/10/wlan-fuer-schultraeger-byod-gyod/.
Authentication eines Domänen Benutzers funktioniert per 802.1x wunderbar, leider nicht von einem Windows 10 Computer der Mitglied in der Domäne ist.
Ich denke es liegt am LDAP Filter mit dem die Suche des Computer Kontos erfolgt. Ein Test per Kommando Zeile auf dem UCS ist erfolgreich.
radtest testrechner$ passwort localhost 10 testing123
Nun wird aber der Domänen Computer im Radius Log nicht mit “LAPTOPNC$” (Name des Domänen Computers) sondern immer mit “host/LAPTOPNC.domain.local” angezeigt, der so nicht gefunden werden kann. Der Domänen Computer ist Mitglied in der Gruppe “Windows Hosts” der der Zugang zum Netzwerk erlaubt wurde.
id=host/LAPTOPNC.domain.local)(cn=Windows Hosts))
[ldap] ldap_get_conn: Checking Id: 0
[ldap] ldap_get_conn: Got Id: 0
[ldap] performing search in dc=domain,dc=local, with filter (&(memberUid=host/LAPTOPNC.domain.local)(cn=Windows Hosts))
[ldap] object not found
[ldap] Search returned not found
[ldap] ldap_release_conn: Release Id: 0
expand: %{ldap:ldap:///dc=domain,dc=local?cn?sub?(&(memberUid=%{User-Name})(cn=Windows Hosts))} ->
? Evaluating ("%{ldap:ldap:///dc=domain,dc=local?cn?sub?(&(memberUid=%{User-Name})(cn=Windows Hosts))}") -> FALSE
++? elsif ("%{ldap:ldap:///dc=domain,dc=local?cn?sub?(&(memberUid=%{User-Name})(cn=Windows Hosts))}") -> FALSE
++else else {
Der angewandte Filter aus dem mschap Modul in /etc/freeradius/modules/mschap lautet:
ntlm_auth = "/usr/bin/univention-radius-ntlm-auth-suidwrapper --request-nt-key --username=%{%{Stripped-User-Name}:-%{%{User-Name}:-None}} --challenge=%{%{mschap:Challenge}:-00} --nt-response=%{%{mschap:NT-Response}:-00} --station-id=%{outer.request:Calling-Station-Id}"
Hat hierzu jemand eine Idee?
Viele Dank
Das sollte eigentlich mit einer aktuellen Version von UCS@school behoben sein: