Kurzer Test – mehr als Proof of Concept für ein späteres Projekt.
Authentifizierung der WLAN Clients über Radius Server in ein paar kleinen Schritten. Voraussetzung:
- WPA Enterprise fähiges WLAN Equipment – ok, Ubiquiti war gerade greifbar. Kann eingentlich jeder Accesspoint.
- ein Radius Server für die Nutzerverwaltung – schnell auf meinem Synology NAS installiert.
- (später ein LDAP Server für die Benutzerverwaltung, für den Test aber unnötig)
Warum?
Ein WPA Passwort ist nur so gut wie die Menge der Nutzer, die es haben und nutzen. Einzelne Nutzer auszusperren bedeutet den Schlüssel auf allen Geräten zu ändern. Nicht praktikabel bei mehreren Geräten.
Los gehts mit dem Synology NAS – einmal Radius installieren, starten und ein Profil für die Ubiquiti Devices anlegen:
Wichtig: Die Radius Anfragen kommen bei Ubiquiti nicht vom Controller, sondern von den Accesspoints, also gleich das ganze Subnetz freischalten. Das shared secret braucht mindestens 8 Zeichen und ja, sollte natürlich auf dem Ubiquiti Controller identisch sein.
Jetzt noch einen User auf dem Synology anlegen:
Auf dem Ubiquiti Controller (hier mein Cloud Key) ein Radius Profil anlegen – bestehend aus der IP des Radius Servers und dem shared secret.
Dann ein neues WLAN mit WPA Enterprise und dem obigen Profil anlegen und aktivieren. Fertig!
So sieht es dann beim ersten Login auf einem iPhone aus…
…und im Protokoll des Radius Servers
Warum mach ich das nochmal?
Für ein Projekt müssen unterschiedliche Nutzer und Geräte in unterschiedliche VLANs – dies hier ist die Vorstufe.
Kommentar verfassen