9. Authentifizierung des WLAN-Zugriffs über RADIUS#

RADIUS ist ein Authentifizierungsprotokoll in Computernetzen. Es wird in UCS@school für die Authentifizierung von Rechnern für den Wireless-LAN-Zugriff eingesetzt.

Der RADIUS-Server muss auf den Access Points entsprechend konfiguriert werden. Die vom Client übertragenen Benutzerkennungen werden dann durch den festgelegten RADIUS-Server geprüft, der wiederum für die Authentifizierung auf den UCS-Verzeichnisdienst zugreift.

9.1. Installation und Konfiguration des RADIUS-Servers#

Um RADIUS-Unterstützung einzurichten, muss das Paket ucs-school-radius-802.1x auf dem Schulserver der Schule installiert werden, in der WLAN-Authentifizierung eingerichtet werden soll. Außerdem muss das Paket ucs-school-webproxy auf dem Schulserver installiert sein.

Beginnend mit UCS@school 4.4 wird während der Installation des Pakets ucs-school-radius-802.1x auch automatisch die App RADIUS mit seinen zusätzlichen Features installiert. Der entsprechende Abschnitt RADIUS in Univention Corporate Server - Handbuch für Benutzer und Administratoren [2] ist daher auch zu prüfen.

Nun müssen alle Access Points der Schule in der RADIUS-Konfiguration zusammen mit einem Passwort hinterlegt werden, um einen Vertrauenskontext zwischen Access Point und RADIUS-Server zu schaffen. Dies kann ab UCS 4.4 entweder in der Univention Management Console erfolgen, sofern für jeden Access Point ein Rechnerobjekt im LDAP-Verzeichnis hinterlegt wird, oder in der Konfigurationsdatei /etc/freeradius/3.0/clients.conf.

Pro Access Point sollte ein zufälliges Passwort erstellt werden. Dies kann z.B. mit dem Befehl makepasswd geschehen. Die Kurzbezeichnung ist frei wählbar. Ein Beispiel für einen solchen Eintrag:

client AP01 {
    secret = a9RPAeVG
    ipaddr = 192.168.100.101
}

9.2. Konfiguration der Access Points#

Nun müssen die Access Points konfiguriert werden. Die dafür nötigen Schritte unterscheiden sich je nach Hardwaremodell, prinzipiell müssen die folgenden vier Optionen konfiguriert werden:

  • Der Authentifizierungmodus muss auf RADIUS-Authentifzierung umgestellt werden. Diese Option wird oft auch als WPA Enterprise bezeichnet.

  • Die IP-Adresse des Schulservers muss als RADIUS-Server angegeben werden.

  • Der Radius-Port ist 1812, sofern kein abweichender Port in FreeRADIUS konfiguriert wurde.

  • Das in der UMC bzw. in der Datei /etc/freeradius/3.0/clients.conf hinterlegte Passwort.

9.3. Konfiguration der zugreifenden Clients#

Der zugreifende Client muss zunächst das UCS-Wurzelzertifikat importieren. Es kann z.B. von der Startseite des Primary Directory Node unter dem Link Wurzelzertifikat bezogen werden. Anschließend muss er eine Netzwerkverbindung mit den folgenden Parametern konfigurieren:

  • Authentifizierung per WPA und TKIP als Verschlüsselungsverfahren

  • PEAP und MSCHAPv2 als Authentifizierungsprotokoll

Die Konfiguration unterscheidet sich je nach Betriebssystem des Clients. Eine exemplarische Schritt-für-Schritt-Anleitung findet sich unter Univention Help 21827 - „Einrichtung des WLAN-Zugriffs über RADIUS für Windows 10“.

9.4. Freigabe des WLAN-Zugriffs in der Univention Management Console#

In der Grundeinstellung ist der WLAN-Zugriff nicht zugelassen. Um einzelnen Benutzergruppen WLAN-Zugriff zu gestatten, muss in der Univention Management Console im Modul Internetregeln definieren eine Regel hinzugefügt - oder eine bestehende editiert werden, in der die Option WLAN-Authentifizierung aktiviert aktiviert ist.

Weiterführende Dokumentation zur Freigabe des WLAN-Zugriffs finden sich in UCS@school - Handbuch für Lehrkräfte und Schuladministratoren [1].

9.5. Fehlersuche#

Im Fehlerfall sollte die Logdatei /var/log/freeradius/radius.log geprüft werden:

  • Erfolgreiche Logins führen zu einem Logeintrag Auth: Login OK.

  • Fehlgeschlagene Authentifizierung führt beispielsweise zu Auth: Login incorrect.

Weitere Informationen zur Fehlersuche sind in Univention Corporate Server - Handbuch für Benutzer und Administratoren [2], im Abschnitt RADIUS, beschrieben.