PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Authentifizierung Gruppen - zwei verschiedene WLAN



rusmus
14.06.2019, 23:57
Guten Tag,
ich habe ein Unifi-Netzwerk mit zwei Subnetzen (WLAN_Schueler und WLAN_Lehrpersonen). Auf dem Synology NAS habe ich die beiden Gruppen Schüler und Lehrpersonen erstellt. Das Paket Radius ist installiert.

Ich habe nun im RadiusServer einen Client Unifi_WLAN_Schueler erstellt. Funktioniert alles bestens: Der Testschüler A kann sich anmelden und landet im entsprechenden Netz.

Das weitere Vorgehen ist mir aber nicht klar:

Ich nehme an, dass ich einen weiteren Client erstellen muss (für das Netzwerk Client_WLAN_Lehrpersonen).
Aber: Wo und wie wird authentifiziert, ob ein Benutzer Schüler oder Lehrer ist?


Ich kann Benutzer oder Benutzerguppen blockieren in der Blockierungsliste. Aber wie wird ein Benutzer dem entsprechenden Netzwerk zugeordnet? Die Blockierungslisten haben ja keinen Bezug zu den Clients. Die Benutzer Schüler müssen für das Netzwerk der Lehrpersonen gesperrt sein.

Hab ich das Konzept falsch begriffen?
Danke für einen Tip, ich stehe irgendwie auf der Leitung...

rusmus
20.06.2019, 06:42
Laut Synology Chat-Support ist das nicht möglich.

NSFH
20.06.2019, 16:13
Um das sauber zu trennen solltest du auch serverseitig mit 2 Netzen fahren. Wenn du eine Syno mit 4 Nw-Ports hast sollte das kein Problem sein.
Ist noch die Frage, wie die Unify Netze getrennt sind, durch unterschiedliche IPs oder VLAN. Bei VLAN müsste man in der Syno via Konsole die Netzwerkeinstellungen verändern. Die DSM Oberfläche bietet leider kein VLAN an, es geht aber.
Ich habe das Problem anders gelöst, hier erfolgt die Trennung im Router durch unterschiedliche LANs mit je eigenem DHCP. Die Anbindung an den Server erfolgt dann über spezielle Routen die firewalltechnisch abgesichert sind.

JudgeDredd
20.06.2019, 18:08
Aber: Wo und wie wird authentifiziert, ob ein Benutzer Schüler oder Lehrer ist?
Was Du suchst, nennt sich im FreeRADIUS "Huntgroups". Dort kannst Du z.B. LDAP-Gruppen für einzelne SSIDs berechtigen.


Laut Synology Chat-Support ist das nicht möglich.
Da hat Synology bedingt recht. Über die Web Oberfläche kannst Du das nicht konfigurieren.
Du könntest aber alles über die Konsole machen. Dann müsstest Du Dich aber vorher in die Konfiguration von FreeRADIUS (http://wiki.freeradius.org/config/Huntgroups) einarbeiten.

Gruß,
JudgeDredd

rusmus
20.06.2019, 21:47
Danke NSFH!


Um das sauber zu trennen solltest du auch serverseitig mit 2 Netzen fahren. Wenn du eine Syno mit 4 Nw-Ports hast sollte das kein Problem sein.


Das ist nun mein Workaround: Ich nehme meine zwei alten NAS (211+). Eines für die Lehrpersonen und eines für die Schüler_Innen. :o

Die beiden LANs haben verschiedene IPBereiche. Im Unifi-router (USG4) kann man bequem LANs und Firewall-Regeln definieren und so wäre das eigentlich dort gut lösbar.

rusmus
20.06.2019, 21:56
Vielen Dank JudgeDredd!
Deine Infos und der Link zu freeRadius geben mir einen möglichen Einstieg. Da wird's interessant! Ein gutes Sommerprojekt ;-) Liebe Grüsse rusmus

JudgeDredd
21.06.2019, 07:29
Gerne. Wenn Du Dich ein wenig eingelesen und konkrete Fragen dazu hast, kannst Du gerne fragen.

Gruß,
JudgeDredd