Ergebnis 1 bis 3 von 3
  1. #1

    Standard Radius-Server Synchonisation mit AD

    Hallo zusammen,

    wir haben in unserer Firma eine neue W-LAN-Umgebung geschaffen.
    Wir haben zwei verschiedene SSIDs. Eine ist für die Nutzung von internen Kollegen und die andere für Gäste (Kunden/Dienstleister).

    Um diese Netzwerke, und die versch. Access Points, zu verwalten, nutzen wir den UniFi Controller.
    Das Netzwerk für externe ist via Hotspot-Manager (Gästeportal) und Kennwort gesichert. Für die interne Nutzung verwenden wir den Radius-Server aus dem Paketzentrum unserer Synology DS1815+.
    Die Authentifizierung und Co. laufen alles ganz normal, alles funktioniert super.
    Da wir nicht wollen das alle Mitarbeiter dieses Netz nutzen können, haben wir eine Sicherheitsgruppe im AD erstellt. Diese beinhaltet alle User die das Netzwerk NICHT nutzen sollen! Diese haben wir dann im Radius-Server unter der "Blacklist"-Funktion hinterlegt. Ist nicht schön - funktioniert allerdings.
    Soweit, so gut.

    Wir haben nur ein Problem:
    Die Synchronisation zwischen AD und Synology bzw. Radius-Server scheint nicht richtig zu funktionieren.

    Wir haben, für Meetings etc., Notebooks im Einsatz. Diese Notebooks können sich die verschiedenen User leihen. Um das Netzwerk nun zu verwenden, es ist dabei gewollt, dass sie das interne Netz nutzen und NICHT das Gästenetzwerk, müssen diese sich mit ihren AD-Nutzerdaten am W-LAN anmelden. Vorher müssen wir natürlich die Kollegen aus der Sicherheitsgruppe im AD entfernen und die Synology wieder mit dem AD synchronisieren.
    Allerdings meldet der Radius-Server, wenn die Kollegen sich anmelden wollen, dass diese Person immernoch in der Sicherheitsgruppe hinterlegt ist.

    Wir haben zwei Domain-Controller im Einsatz. Beide sind synchron zueinander und korrekt - unsere Testuser kommen dennoch nicht ins W-LAN.
    Ein Neustart der Synology, sowie das Entfernen und wieder eintragen der Sicherheitsgruppe in die Blacklist, hat nicht funktioniert.
    Auch ein "einfaches warten", ob der Radius-Server sich über Nacht vielleicht korrekt synchronisiert, hat nicht geholfen.


    Hat jemand von euch eine Ahnung was wir tun können?
    Gibt es eine Whitelist-Funktion?
    Können wir über die Kommandozeile irgendetwas tun?


    Scheinbar gibt es kaum bis keine Hilfestellungen in den verschiedenen Foren.

    Danke schon mal im Voraus - falls ihr noch irgendwelche Infos von mir braucht, dann schreibt gerne.

    LG Yannick aka UniFiNutzer

  2. #2
    Anwender Avatar von JudgeDredd
    Registriert seit
    12.11.2009
    Beiträge
    992

    Standard

    Hallo UniFiNutzer,

    Zitat Zitat von UniFiNutzer
    Da wir nicht wollen das alle Mitarbeiter dieses Netz nutzen können
    So ganz verstehe ich noch nicht, wer nun wann welches Netz nutzen soll.

    Zitat Zitat von UniFiNutzer
    ... haben wir eine Sicherheitsgruppe im AD erstellt. Diese beinhaltet alle User die das Netzwerk NICHT nutzen sollen
    Mag funktionieren, aber eine AD-Gruppe mit erlaubten Benutzer fände ich da schon sinnvoller.

    Zitat Zitat von UniFiNutzer
    Die Synchronisation zwischen AD und Synology bzw. Radius-Server scheint nicht richtig zu funktionieren.
    Der RADIUS syncroniersiert nicht mit dem AD. Er fragt die Anmeldedaten bei Anmeldung ab.

    Ich vermute mal, Ihr administriert den RADIUS voll über die GUI der DS. Richtig ?
    Das Problem (vor dem ich auch irgendwann einmal stand) ist das die Funktionalitäten des FreeRADIUS über die GUI von Synology nur zu einem Bruchteil abgedeckt sind.

    Wenn Du über die Konsole administrierst, dann kannst Du z.B. in der Datei "users" einen direkten LDAP-Filter setzen. (Das wäre dann ja für Dich die sogenannte "White-List")
    Ebenso kannst Du dann über die "Huntgroups" definieren, wer sich über welchen AP mit welcher SSID anmelden darf.
    z.B.:
    "huntgroups"
    Code:
    SSID_intern             Called-Station-Id == 'xx-xx-xx-xx-xx-xx:INTERN'
    SSID_gast               NAS-Identifier == 'GASTPORTAL'
    "users"
    Code:
    DEFAULT LDAP-Group == "CN=WiFi_intern,OU=groups,OU=accounts,DC=xxxxx,DC=intranet", Huntgroup-Name == "SSID_intern"
    Kurzum ... der RADIUS der Synology (insbesondere die GUI) ist im Enterprise-Umfeld gelinde gesagt Schrott.

    Meine Empfehlung:
    Nimm eine Linux-VM und installiere Dir das aktuelle RADIUS Paket und konfiguriere über die Konsole.
    Erfordert sicherlich ein wenig einlesen in die Doku und div. Tutorials, aber dafür läuft es sehr stabil.

    Solltest Du diesen Weg einschlagen wollen, kann ich bei konkreten Fragen zur Konfiguration auch versuchen Dich zu unterstützen.

    Gruß,
    JudgeDredd
    STANDORT 1:
    ROUTER:

    DS:

    DMZ: Eigenbau mit pfSense Software
    SUB: DrayTek Vigor2920 Dual WAN Security Router
    409+ Raid-5(4x1000) 4.2-[3255]
    STANDORT 2:
    ROUTER:
    DS:

    Eigenbau mit pfSense Software
    713+ Raid-1(2x3000) DSM 4.3-[3810]

  3. #3
    Anwender
    Registriert seit
    01.02.2011
    Beiträge
    188

    Standard

    Zitat Zitat von JudgeDredd Beitrag anzeigen
    Mag funktionieren, aber eine AD-Gruppe mit erlaubten Benutzer fände ich da schon sinnvoller.
    Das geht allerdings nicht in der GUI des Radius Server Pakets. Würde ich mir aber auch wünschen...
    DS916+ (8GB) - 2x3 TB WD Red SHR/Btrfs und 2x4 TB Seagate IronWolf, SHR/Btrfs
    DS214+ (1GB) - 2x2 TB WD Red SHR
    DS211J - 2x2 TB Seagate Constellation ES JBOD (Backup System)
    USV: APC RS 900G an DS916+

Ähnliche Themen

  1. Radius Server mit Acitve Directory verbinden
    Von voodoo im Forum Radius Server
    Antworten: 10
    Letzter Beitrag: 21.08.2018, 09:53
  2. VPN Server mit RADIUS Authenfizierung ?
    Von t-arn im Forum VPN Server
    Antworten: 0
    Letzter Beitrag: 01.09.2017, 12:55
  3. Probleme mit Radius Server
    Von manuwurf im Forum Radius Server
    Antworten: 5
    Letzter Beitrag: 10.02.2015, 18:16
  4. Antworten: 4
    Letzter Beitrag: 22.02.2014, 14:39
  5. Authentifizierungsproblem mit RADIUS-Server
    Von b00n im Forum Synology Beta Programm
    Antworten: 0
    Letzter Beitrag: 28.01.2013, 08:51

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •