Radius Radius-Server Synchonisation mit AD

Status
Für weitere Antworten geschlossen.

UniFiNutzer

Benutzer
Mitglied seit
17. Apr 2019
Beiträge
1
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

wir haben in unserer Firma eine neue W-LAN-Umgebung geschaffen.
Wir haben zwei verschiedene SSIDs. Eine ist für die Nutzung von internen Kollegen und die andere für Gäste (Kunden/Dienstleister).

Um diese Netzwerke, und die versch. Access Points, zu verwalten, nutzen wir den UniFi Controller.
Das Netzwerk für externe ist via Hotspot-Manager (Gästeportal) und Kennwort gesichert. Für die interne Nutzung verwenden wir den Radius-Server aus dem Paketzentrum unserer Synology DS1815+.
Die Authentifizierung und Co. laufen alles ganz normal, alles funktioniert super.
Da wir nicht wollen das alle Mitarbeiter dieses Netz nutzen können, haben wir eine Sicherheitsgruppe im AD erstellt. Diese beinhaltet alle User die das Netzwerk NICHT nutzen sollen! Diese haben wir dann im Radius-Server unter der "Blacklist"-Funktion hinterlegt. Ist nicht schön - funktioniert allerdings.
Soweit, so gut.

Wir haben nur ein Problem:
Die Synchronisation zwischen AD und Synology bzw. Radius-Server scheint nicht richtig zu funktionieren.

Wir haben, für Meetings etc., Notebooks im Einsatz. Diese Notebooks können sich die verschiedenen User leihen. Um das Netzwerk nun zu verwenden, es ist dabei gewollt, dass sie das interne Netz nutzen und NICHT das Gästenetzwerk, müssen diese sich mit ihren AD-Nutzerdaten am W-LAN anmelden. Vorher müssen wir natürlich die Kollegen aus der Sicherheitsgruppe im AD entfernen und die Synology wieder mit dem AD synchronisieren.
Allerdings meldet der Radius-Server, wenn die Kollegen sich anmelden wollen, dass diese Person immernoch in der Sicherheitsgruppe hinterlegt ist.

Wir haben zwei Domain-Controller im Einsatz. Beide sind synchron zueinander und korrekt - unsere Testuser kommen dennoch nicht ins W-LAN.
Ein Neustart der Synology, sowie das Entfernen und wieder eintragen der Sicherheitsgruppe in die Blacklist, hat nicht funktioniert.
Auch ein "einfaches warten", ob der Radius-Server sich über Nacht vielleicht korrekt synchronisiert, hat nicht geholfen.


Hat jemand von euch eine Ahnung was wir tun können?
Gibt es eine Whitelist-Funktion?
Können wir über die Kommandozeile irgendetwas tun?


Scheinbar gibt es kaum bis keine Hilfestellungen in den verschiedenen Foren.

Danke schon mal im Voraus - falls ihr noch irgendwelche Infos von mir braucht, dann schreibt gerne.

LG Yannick aka UniFiNutzer :)
 

JudgeDredd

Benutzer
Mitglied seit
12. Nov 2009
Beiträge
1.064
Punkte für Reaktionen
8
Punkte
64
Hallo UniFiNutzer,

UniFiNutzer schrieb:
Da wir nicht wollen das alle Mitarbeiter dieses Netz nutzen können
So ganz verstehe ich noch nicht, wer nun wann welches Netz nutzen soll.

UniFiNutzer schrieb:
... haben wir eine Sicherheitsgruppe im AD erstellt. Diese beinhaltet alle User die das Netzwerk NICHT nutzen sollen
Mag funktionieren, aber eine AD-Gruppe mit erlaubten Benutzer fände ich da schon sinnvoller.

UniFiNutzer schrieb:
Die Synchronisation zwischen AD und Synology bzw. Radius-Server scheint nicht richtig zu funktionieren.
Der RADIUS syncroniersiert nicht mit dem AD. Er fragt die Anmeldedaten bei Anmeldung ab.

Ich vermute mal, Ihr administriert den RADIUS voll über die GUI der DS. Richtig ?
Das Problem (vor dem ich auch irgendwann einmal stand) ist das die Funktionalitäten des FreeRADIUS über die GUI von Synology nur zu einem Bruchteil abgedeckt sind.

Wenn Du über die Konsole administrierst, dann kannst Du z.B. in der Datei "users" einen direkten LDAP-Filter setzen. (Das wäre dann ja für Dich die sogenannte "White-List")
Ebenso kannst Du dann über die "Huntgroups" definieren, wer sich über welchen AP mit welcher SSID anmelden darf.
z.B.:
"huntgroups"
Rich (BBCode):
SSID_intern             Called-Station-Id == 'xx-xx-xx-xx-xx-xx:INTERN'
SSID_gast               NAS-Identifier == 'GASTPORTAL'
"users"
Rich (BBCode):
DEFAULT LDAP-Group == "CN=WiFi_intern,OU=groups,OU=accounts,DC=xxxxx,DC=intranet", Huntgroup-Name == "SSID_intern"

Kurzum ... der RADIUS der Synology (insbesondere die GUI) ist im Enterprise-Umfeld gelinde gesagt Schrott.

Meine Empfehlung:
Nimm eine Linux-VM und installiere Dir das aktuelle RADIUS Paket und konfiguriere über die Konsole.
Erfordert sicherlich ein wenig einlesen in die Doku und div. Tutorials, aber dafür läuft es sehr stabil.

Solltest Du diesen Weg einschlagen wollen, kann ich bei konkreten Fragen zur Konfiguration auch versuchen Dich zu unterstützen.

Gruß,
JudgeDredd
 

Yippie

Benutzer
Mitglied seit
01. Feb 2011
Beiträge
561
Punkte für Reaktionen
27
Punkte
54
Mag funktionieren, aber eine AD-Gruppe mit erlaubten Benutzer fände ich da schon sinnvoller.
Das geht allerdings nicht in der GUI des Radius Server Pakets. Würde ich mir aber auch wünschen...
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat