UCS 4.2 Radius Authentication für Domänen Computer schlägt fehl

german
radius

#1

Hi,

ich experimentiere gerade mit dem Univention Radius Modul und 802.1x Authentication. Mein Setup entspricht in etwa dem hier beschriebenen https://www.univention.de/blog-de/2017/10/wlan-fuer-schultraeger-byod-gyod/.

Authentication eines Domänen Benutzers funktioniert per 802.1x wunderbar, leider nicht von einem Windows 10 Computer der Mitglied in der Domäne ist.

Ich denke es liegt am LDAP Filter mit dem die Suche des Computer Kontos erfolgt. Ein Test per Kommando Zeile auf dem UCS ist erfolgreich.

radtest testrechner$ passwort localhost 10 testing123

Nun wird aber der Domänen Computer im Radius Log nicht mit “LAPTOPNC$” (Name des Domänen Computers) sondern immer mit “host/LAPTOPNC.domain.local” angezeigt, der so nicht gefunden werden kann. Der Domänen Computer ist Mitglied in der Gruppe “Windows Hosts” der der Zugang zum Netzwerk erlaubt wurde.

id=host/LAPTOPNC.domain.local)(cn=Windows Hosts))
  [ldap] ldap_get_conn: Checking Id: 0
  [ldap] ldap_get_conn: Got Id: 0
  [ldap] performing search in dc=domain,dc=local, with filter (&(memberUid=host/LAPTOPNC.domain.local)(cn=Windows Hosts))
  [ldap] object not found
  [ldap] Search returned not found
  [ldap] ldap_release_conn: Release Id: 0
        expand: %{ldap:ldap:///dc=domain,dc=local?cn?sub?(&(memberUid=%{User-Name})(cn=Windows Hosts))} ->
? Evaluating ("%{ldap:ldap:///dc=domain,dc=local?cn?sub?(&(memberUid=%{User-Name})(cn=Windows Hosts))}") -> FALSE
++? elsif ("%{ldap:ldap:///dc=domain,dc=local?cn?sub?(&(memberUid=%{User-Name})(cn=Windows Hosts))}") -> FALSE
++else else {

Der angewandte Filter aus dem mschap Modul in /etc/freeradius/modules/mschap lautet:

ntlm_auth = "/usr/bin/univention-radius-ntlm-auth-suidwrapper --request-nt-key --username=%{%{Stripped-User-Name}:-%{%{User-Name}:-None}} --challenge=%{%{mschap:Challenge}:-00} --nt-response=%{%{mschap:NT-Response}:-00} --station-id=%{outer.request:Calling-Station-Id}"

Hat hierzu jemand eine Idee?

Viele Dank


#2

Hallo!

Ja :slight_smile: Das sollte eigentlich mit einer aktuellen Version von UCS@school behoben sein:
https://forge.univention.org/bugzilla/show_bug.cgi?id=44955

Daher die Rückfrage: Welche UCS / UCS@school-Version wird verwendet? Wird die RADIUS-App aus dem App Center eingesetzt oder das UCS@school-spezifische Paket ucs-school-radius-802.1x?

Beste Grüße,
Michael Grandjean


#3

Hi,

danke für die schnelle Antwort. Ich verwende die normale Radius App aus dem Univention App Store.
Meine UCS Version ist 4.2-4 errata 497. Die Radius App hat die Version 4.0.

Gibt es eine Möglichkeit, den Fix auf die Radius App anzuwenden?

Viele Grüße


#4

Hallo,

gibt es evtl. eine Möglichkeit den Fix aus dem ucs-school-radius-802.1x Pakets auf die Radius App zu übertragen damit Domänen Computer sich auch über Radius authentifizieren können?

Hat jemand das gleiche Problem?

Viele Grüße