11.6. RADIUS#
Die RADIUS App erhöht die Sicherheit für mit UCS verwaltete IT-Infrastrukturen durch Zugangskontrollen zu WLAN-Netzwerken für Benutzer, Gruppen und Endgeräte über das RADIUS-Protokoll. Die Konfiguration erfolgt über Blacklisten und Whitelisten direkt am Benutzer-, Gruppen- oder Endgeräte-Objekt im UCS Managementsystem. Registrierte Benutzer werden mit ihrem üblichen Domänenpasswort oder alternativ mit einem eigens erzeugten RADIUS-Passwort authentisiert, so dass unter anderem Bring-Your-Own-Device-Konzepte ermöglicht werden.
11.6.1. Installation#
RADIUS steht über das App Center (siehe Univention App Center) zur Verfügung und kann über das entsprechende UMC-Modul App Center installiert werden. Die App kann auf mehreren Systemen installiert werden. Nach der Installation startet die App einen FreeRADIUS Server. Authenticators (z.B. Access Points) können den Server via RADIUS kontaktieren und Netzwerkzugangsanfragen prüfen.
Die RADIUS App kann auch auf UCS@school Systemen installiert werden. In diesem Fall kann der Zugang an Benutzer oder Gruppen unabhängig von der Internetregel oder Computerraumeinstellungen vergeben werden.
11.6.2. Konfiguration#
11.6.2.1. Erlaubte Benutzer#
Standardmäßig hat kein Benutzer Zugang zum Netzwerk. Indem die Checkbox für Netzwerkzugriff erlaubt im RADIUS Reiter aktiviert wird, erhält der Benutzer Zugriff auf das Netzwerk. Die Checkbox kann auch für Gruppen gesetzt werden, so dass alle Benutzer in der Gruppe Zugang erlangen.
11.6.2.2. Dienst-spezifisches Passwort#
Standardmäßig authentifizieren sich Benutzer über ihr Domänenpasswort. Durch Setzen der Univention Configuration Registry Variable radius/use-service-specific-password
auf true
wird stattdessen ein Passwort speziell für RADIUS genutzt. Dieses Passwort können Nutzer selbst über die App Self Service setzen lassen. Dafür ist auf dem Self Service Backend die Univention Configuration Registry Variable umc/self-service/service-specific-passwords/backend/enabled
auf true
zu setzen. In der App kann dann vom System ein zufälliges Passwort erzeugt werden, das die Benutzer dann nutzen können. Bei Bedarf kann das Passwort neu generiert werden. Dadurch wird gleichzeitig das alte Passwort ungültig.
Die Parameter, mit denen das Passwort erzeugt wird, können angepasst werden. Auf dem Primary Directory Node müssen dazu Univention Configuration Registry Variablen gesetzt werden:
$ ucr search password/radius/quality
11.6.2.3. MAC-Adressfilter#
Standardmäßig ist allen Geräten der Zugang zum Netzwerk erlaubt, vorausgesetzt der verwendete Benutzer hat Zugriff. Der Netzwerkzugriff kann auch auf spezifische Geräte begrenzt werden. Das kann durch Setzen der Univention Configuration Registry Variable radius/mac/whitelisting
auf true
erreicht werden. Sobald aktiviert, wird das Geräteobjekt beim Zugriff des Geräts auf das Netzwerk über das LDAP-Attribut macAddress
abgerufen und dem entsprechenden Geräteobjekt muss der Zugang zum Netzwerk auch erlaubt sein (entweder direkt oder über eine der Gruppen).
11.6.2.4. MAC Authentication Bypass für Computerobjekte#
MAC Authentication Bypass (MAB) ist ein proprietärer Fallback-Modus zu 802.1X für Geräte, die keine 802.1X-Authentifizierung unterstützen, wie Netzwerkdrucker oder drahtlose Telefone. MAB ist eine Option, die es solchen Geräten ermöglicht, sich mit ihrer MAC-Adresse als Benutzernamen beim Netzwerk zu authentifizieren.
Dieser Abschnitt beschreibt, wie Sie die MAC-Adresse eines Geräts zur Authentifizierung verwenden und ihm über MAB ein VLAN der entsprechenden Netzwerkinfrastruktur zuweisen. Um MAC Authentication Bypass zu aktivieren, setzen Sie die Univention Configuration Registry Variable freeradius/conf/allow-mac-address-authentication
auf true
.
Wichtig
Geräte, die sich mit MAB authentifizieren, ignorieren die Netzwerkzugangseinstellungen:
Univention Configuration Registry Variable
radius/mac/whitelisting
Die Checkbox Netzwerkzugriff zulassen beim Computerobjekt und in der Gruppeneinstellung
Warnung
Angreifer können MAC-Adressen ausspionieren. Betrachten Sie jeden Anschluss als gefährdet, an dem Ihr Switch die Verwendung von MAB zulässt. Vergewissern Sie sich, dass Sie geeignete Maßnahmen ergriffen haben, um Ihr Netzwerk weiterhin sicher zu halten.
Um einem Computer die VLAN-ID zuzuweisen, müssen Sie ihn zur Gruppe des Computerobjekts hinzufügen, dass die entsprechende VLAN ID hat. Gehen Sie im UCS-Managementsystem wie folgt vor:
Öffnen Sie
.Klicken Sie das Computerobjekt, das Sie bearbeiten möchten.
Gehen Sie zu
.Um eine Gruppe mit VLAN-IDs hinzuzufügen, klicken Sie auf ADD, wählen Sie
Virtual LAN ID
aus der Dropdown-Liste Objekteigenschaft und aktivieren Sie die entsprechende Gruppe, um sie hinzuzufügen.Um zu speichern, klicken Sie auf HINZUFÜGEN im Objekte hinzufügen Dialog und SAVE in Erweiterte Einstellungen.
Um die VLAN-ID einer Benutzergruppe zuzuweisen, müssen Sie sie zu den Benutzergruppeneinstellungen hinzufügen. Führen Sie im UCS-Managementsystem die folgenden Schritte aus:
Öffnen Sie
.Klicken Sie die Benutzergruppe zum Bearbeiten oder erstellen Sie eine neue Benutzergruppe.
Gehen Sie zu
.Geben Sie die VLAN ID as Zahl in das Feld Virtual LAN ID.
Zum Speichern, klicken Sie SPEICHERN.
Wenn einem Computerobjekt mehrere Gruppen mit VLAN-IDs zugeordnet sind, wählt UCS die VLAN-ID mit der niedrigsten Nummer aus und weist sie zu. Um eine Standard VLAN-ID zu konfigurieren, setzen Sie diese als Wert in die Univention Configuration Registry Variable freeradius/vlan-id
.
Nachdem Sie die Konfiguration abgeschlossen haben, gibt der Radius-Server die zugewiesene VLAN-ID an Anfragen mit der angegebenen MAC-Adresse zurück.
UCS speichert die MAC-Adresse im LDAP-Verzeichnis als Zeichenkette in Kleinbuchstaben mit dem Doppelpunkt (:
) als Trennzeichen, zum Beispiel 00:00:5e:00:53:00
.
Neu in Version 5.0-6-erratum-1011: Mit UCS 5.0 erratum 1011 kann der Radius-Server mit verschiedenen Formaten der MAC Adresse für Benutzernamen umgehen, wenn MAB verwendet wird.
Geräte, die MAB verwenden, benutzen ihre MAC-Adresse als Benutzernamen und sie können unterschiedliche Formate dafür verwenden. Der Radius-Server unterstützt verschiedene Formate, die Groß- und Kleinschreibung unterscheiden. In der folgenden Liste sind die getesteten Formate aufgeführt:
XX:XX:XX:XX:XX:XX
XX-XX-XX-XX-XX-XX
XX.XX.XX.XX.XX.XX
XXXX.XXXX.XXXX
XXXXXXXXXXXX
Bemerkung
Für nicht-standardisierte Formate können Sie einen regulären Ausdruck in der Univention Configuration Registry Variable freeradius/conf/mac-addr-regexp
konfigurieren, der mit Ihrem benutzerdefinierten MAC-Adressformat zusammen passt.
Je nach regulärem Ausdruck kann es vorkommen, dass die zuvor aufgeführten Formate nicht mehr funktionieren.
Wichtig
Alle Geräte, die MAB verwenden, müssen dasselbe Passwort haben, da dienstspezifische Passwörter nicht funktionieren, und der Switch muss das Passwort kennen. Sie können nur ein Gerätepasswort im Switch konfigurieren. Sie können Ihr eigenes Passwort für die Geräte mit MAB erstellen, zum Beispiel mab request format attribute 2 password1
.
Wenn die Netzwerkinfrastruktur ein anderes Format vorsieht, können Sie das Format häufig neu konfigurieren. Für Cisco-Switches können Sie zum Beispiel mab request format attribute 1 groupize 2 separator : lowercase
verwenden, wie in Configurable MAB Username and Password beschrieben.
11.6.2.5. Access Points verwalten#
Alle Access Points (Netzwerkzugangspunkte) müssen dem RADIUS-Server bekannt sein. Ein Access Point lässt sich entweder pro RADIUS-Server über die Datei /etc/freeradius/3.0/clients.conf
konfigurieren oder domänenweit über das UMC-Modul Rechner. Für jeden Access Point sollte ein zufälliges, gemeinsames Geheimnis erzeugt werden (Zum Beispiel über den Befehl makepasswd.). Der Name kann frei gewählt werden.
Beispiel für einen Eintrag eines Access Points in der clients.conf
Datei:
client AP01 {
secret = a9RPAeVG
ipaddr = 192.0.2.101
}
Um Access Points über das UMC-Modul Rechner zu verwalten muss ein Rechnerobjekt erstellt oder ausgewählt werden und die Option RADIUS-Authenticator (Setzen der RADIUS-Option) aktiviert werden. Für einen Access Point bietet sich ein IP-Client als Rechnerobjekt an. Im RADIUS-Reiter des Objekts lassen sich nach dem Hinzufügen der Option die Eigenschaften des Access Points festlegen (RADIUS-Authenticator Optionen). Es müssen mindestens die IP-Adresse am Rechnerobjekt und ein gemeinsamer, geheimer Schlüssel gesetzt sein. Die Eigenschaften NAS-Type und Virtueller Server müssen in der Regel nicht verändert werden.
Access Points, welche über UMC-Modul Rechner konfiguriert sind, sind anschließend allen RADIUS-Servern in der Domäne bekannt. Dabei werden die Access Points über den Univention Directory Listener in die Datei /etc/freeradius/3.0/clients.univention.conf
geschrieben und der RADIUS-Server neu gestartet. Um Änderungen zusammenzufassen, geschieht dies verzögert (etwa 15 Sekunden). Neue Access Points haben erst nach diesem Neustart Zugriff auf den RADIUS-Server.
11.6.2.6. Konfiguration von Access Point und Client#
Die Access Points müssen so konfiguriert sein, dass sie 802.1x („WPA Enterprise“) Authentisierung verwenden. Außerdem sollte die RADIUS Server Adresse auf die Adresse des Servers gesetzt sein, auf dem die RADIUS-App installiert ist. Das Passwort muss auf den Wert des des secret
aus dem Eintrag in der clients.conf
für den Access Point gesetzt sein.
WLAN Clients müssen so konfiguriert sein, dass sie WPA mit PEAP und MSCHAPv2 für die Authentisierung verwenden.
11.6.2.7. VLAN IDs#
Virtual Local Area Networks (VLANs) können verwendet werden, um den Datenverkehr der Benutzer auf der Netzwerkebene zu trennen. UCS kann so konfiguriert werden, dass es eine VLAN-ID in der Radius-Antwort des Radius-Authentifizierungsprozesses gemäß RFC 3580 / IEEE 802.1X zurück gibt. Weitere Informationen finden Sie in Konfiguration VLAN.
Die VLAN-ID für einen Benutzer kann konfiguriert werden, indem der Benutzer einer Gruppe mit einer VLAN-ID zugewiesen wird.
Eine Standard VLAN-ID kann in der Univention Configuration Registry Variable freeradius/vlan-id
konfiguriert werden. Diese Standard VLAN-ID wird zurückgegeben, wenn der Benutzer nicht Mitglied einer Gruppe mit einer VLAN-ID ist. Die Radius Antwort wird keine VLAN-ID enthalten, wenn der Benutzer nicht Mitglied einer Gruppe mit VLAN-ID ist und keine Standard VLAN-ID definiert ist.
11.6.3. Fehlersuche#
Die RADIUS-App verfügt über eine Logdatei unter /var/log/univention/radius_ntlm_auth.log
. Die Ausführlichkeit der Logmeldungen lässt sich über die Univention Configuration Registry Variable freeradius/auth/helper/ntlm/debug
steuern. Der FreeRADIUS-Server loggt nach /var/log/freeradius/radius.log
.
Das Werkzeug univention-radius-check-access kann zur Untersuchung der aktuellen Zugangsregeln für einen bestimmten Benutzer und/oder eine MAC-Adresse verwendet werden. Es kann als Benutzer root auf dem Server ausgeführt werden, wo das Paket univention-radius installiert ist:
root@primary211:~# univention-radius-check-access --username=stefan
DENY 'uid=stefan,cn=users,dc=ucs,dc=example'
'uid=stefan,cn=users,dc=ucs,dc=example'
-> DENY 'cn=Domain Users,cn=groups,dc=ucs,dc=example'
-> 'cn=Domain Users,cn=groups,dc=ucs,dc=example'
-> -> DENY 'cn=Users,cn=Builtin,dc=ucs,dc=example'
-> -> 'cn=Users,cn=Builtin,dc=ucs,dc=example'
Thus access is DENIED.
root@primary211:~# univention-radius-check-access --username=janek
DENY 'uid=janek,cn=users,dc=ucs,dc=example'
'uid=janek,cn=users,dc=ucs,dc=example'
-> DENY 'cn=Domain Users,cn=groups,dc=ucs,dc=example'
-> ALLOW 'cn=Network Access,cn=groups,dc=ucs,dc=example'
-> 'cn=Domain Users,cn=groups,dc=ucs,dc=example'
-> -> DENY 'cn=Users,cn=Builtin,dc=ucs,dc=example'
-> -> 'cn=Users,cn=Builtin,dc=ucs,dc=example'
-> 'cn=Network Access,cn=groups,dc=ucs,dc=example'
Thus access is ALLOWED.
root@primary211:~#
Das Werkzeug gibt eine detaillierte Erläuterung und setzt den Rückgabewert abhängig vom Ergebnis der Zugangsprüfung (0
für Zugang gestattet, 1
für Zugang verweigert).