RADIUS Forwarding: Realm wird nicht erkannt

Forum zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller

Moderator: Lancom-Systems Moderatoren

Antworten
BenjaminG
Beiträge: 3
Registriert: 14 Sep 2018, 13:03

RADIUS Forwarding: Realm wird nicht erkannt

Beitrag von BenjaminG »

Hallo zusammen,

ich bräuchte mal einen Denkanstoß zum Thema Radius Forwarding.
Wir setzen den WLC4100 ein und ich teste gerade die Client und Benutzerauthentifizierung per Zertifikaten.
Das funktioniert zwar so weit, aber wenn ich die Radius requests über den WLC Forwarden will, muss ich ihm ja meine Domäne als REALM angeben.
Jetzt sollen die Notebooks sich mit dem Clientzertifikat einwählen, wenn sie an der Anmeldung stehen, und danach der User mit seinem Zertifikat, sobald er angemeldet ist.

Der User meldet sich mit user@domain.com und der Client mit host/PCNAME.domain.de

(.com und .de beachten)
Also habe ich 2 Realms angelegt mit .com und .de. Die User funktionieren problemlos. Ändere ich da z.B das Realm von .com auf .bla ab, gehen sie auch nicht mehr. Soweit korrekt.
Die Clients hingegen funktionieren nicht. Da kommen die Requests nicht mal am NPS an.
Im Radius-Trace vom WLC sehe ich auch, das die User bzw deren realm erkannt und geforwarded werden
Bei den Clients kommt allerding

Code: Alles auswählen

-->
user name contains no realm, using empty realm
-->realm of user is ''
-->authenticating locally
-->did not find user 'host/PCNAME.domain.de' in database(s)
-->authenticating via EAP
-->queueing request for later response
Ich kann mit das allerdings nicht erklären. Er sollte doch die Domain/Realm erkennen und entsprechend auch zum NPS weitergeben?.
lancomRealm.jpg
Hat jemand eine Idee ?

Mfg Benjamin
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: RADIUS Forwarding: Realm wird nicht erkannt

Beitrag von Bernie137 »

Hallo BenjaminG,

ich habe zwar bei uns nur Clients, keine Benutzer mit Zertifikaten, aber ich habe es so...
REALM.jpg
Mit einem Bild war mir das jetzt schneller erklärt als zu beschreiben. Statt IAS könnte es auch Bockwurst heißen, denn unsere Domain heißt wieder gaaanz anders.

Viele Grüße
Bernie
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Man lernt nie aus.
BenjaminG
Beiträge: 3
Registriert: 14 Sep 2018, 13:03

Re: RADIUS Forwarding: Realm wird nicht erkannt

Beitrag von BenjaminG »

Ja, das funktioniert, weil dann halt einfach alles da hingeleitet wird. Wir haben allerdings noch andere WLANs hier. Da muss ich ein bisschen präziser vorgehen :)
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: RADIUS Forwarding: Realm wird nicht erkannt

Beitrag von Bernie137 »

Ich habe auch noch andere WLANs in genau der Konfiguration, die verwenden sogar einen ganz anderen RADIUS. Aber nur eine SSID für eben die Domain.
Man lernt nie aus.
Cytor
Beiträge: 158
Registriert: 17 Mai 2012, 15:19

Re: RADIUS Forwarding: Realm wird nicht erkannt

Beitrag von Cytor »

Hi,

vielleicht mal mit der Einstellung /Setup/RADIUS/Server/Realm-Types spielen:

Code: Alles auswählen

root@L452:/Setup/RADIUS/Server
> set Realm-Types ?

Possible values in menu 'Server' with prefix 'Realm-Types':
[ 17] Realm-Types : Bitmask: Mail-Domain (1), MS-Domain (2), MS-CompAuth (4)
Eventuell muss hier einfach "MS-CompAuth" dazugeschaltet werden, damit der Realm bei dir korrekt interpretiert wird. Ich glaube, in LANconfig ist der Schalter aktuell nicht drin. Kann aber auch über die Webconfig im Menübaum eingestellt werden, oder eben über die CLI.
BenjaminG
Beiträge: 3
Registriert: 14 Sep 2018, 13:03

Re: RADIUS Forwarding: Realm wird nicht erkannt

Beitrag von BenjaminG »

Oh wow. ok das muss man auch erst mal wissen :)

Herzlichen Dank!

Sollte mal jemand anderes darüberstolpern:
mit

Code: Alles auswählen

cd /Setup/RADIUS/Server
set Realm-Types 5
aktiviert man Mail-Domain und MS-CompAuth . Dann klappts ...
Antworten

Zurück zu „Alles zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller“