WLC 4006 und Radius mit Windows 2008R2

[Bernie137]

Moin,

Hi,

nein, er kommt mit gar keinem Realm bei der Maschinenauthentifzierung. Und das ist das Problem, weil genau so funktioniert das Public Spot - mit einem leeren Realm, wo dann das Lancomgerät als Radiusserver fungiert. [was so betrachtet das Public Spot auch logisch erklärt - also die Funktionsweise dessen ].

Gruß
jbaecker

Also es lässt sich doch so einrichten wie gewünscht. Hier im Manual auf Seite 111 steht es: ftp://ftp.lancom.de/LANCOM-Releases/LC- ... UAL-DE.pdf Ich habe es ausprobiert und es funktioniert auch tatsächlich. Man richtet also eine Weiterleitung zum externen Radius für leeren Realm ein und gibt den Public Spot Benutzern einen Realm. Allerdings ist das nicht die feine englische Art. Immer dann, wenn ein Public Spot Benutzer den Realm nicht mit eingibt, landet der Authentifizierungsversuch beim externen Radius.

Code: Alles auswählen

[RADIUS-Server] 2013/07/23 08:40:49,280  Devicetime: 2013/07/23 08:40:48,210
Received RADIUS authentication request 88 from client 127.0.0.1:3072:
-->known attributes of request:
   User-Name           : user43888
   User-Password       : xach8w
   Service-Type        : Login
   NAS-Identifier      : WLC-DBJW
   NAS-IP-Address      : 127.0.0.1
   NAS-Port-Id         : WLC-TUNNEL-1
   NAS-Port-Type       : Wireless - IEEE 802.11
   Called-Station-Id   : 00:a0:57:13:62:0d
   Calling-Station-Id  : 00:26:b6:dc:4d:ba
   Framed-IP-Address   : 192.168.15.223
-->user name contains no realm, using empty realm
-->realm of user is 'FIRMA'
-->forwarding request to specified server
-->queueing request for later response

Erst mit Eingabe des Realms funktioniert es dann:

Code: Alles auswählen

[RADIUS-Server] 2013/07/23 08:41:41,010  Devicetime: 2013/07/23 08:41:39,958
Received RADIUS authentication request 93 from client 127.0.0.1:3072:
-->known attributes of request:
   User-Name           : user43888@public
   User-Password       : xach8w
   Service-Type        : Login
   NAS-Identifier      : WLC-DBJW
   NAS-IP-Address      : 127.0.0.1
   NAS-Port-Id         : WLC-TUNNEL-1
   NAS-Port-Type       : Wireless - IEEE 802.11
   Called-Station-Id   : 00:a0:57:13:62:0d
   Calling-Station-Id  : 00:26:b6:dc:4d:ba
   Framed-IP-Address   : 192.168.15.223
-->realm 'public' not found, using default realm
-->realm of user is ''
-->authenticating locally
-->found user 'user43888' in database(s)
-->setting session timeout of 344950 seconds from expiry time
-->setting session timeout of 86400 seconds from expiry time relative to first login
-->authenticating via PAP
-->response type is Accept, response attributes:
   Session-Timeout     : 86400 s
   Acct-Interim-Interval: 600 s
   LCS-Account-End     : 07/27/2013 08:30:49
-->sending response

Nun ist es nicht so einfach, das mal eben im laufenden Betrieb umzustellen, da immer Tickets existieren, die noch ohne Realm ausgestellt wurden. Ein großer Vorteil ist, dass man auch ältere APs, z.B. L-54g mit LCOS 8.62 so über den WLC authentifizieren kann.

Gruß Heiko

[jbaecker]

Ohne das jetzt ausprobiert zu haben: Da steht, das PSpot der Standardrealm für Public-Spot-User ist. Warum sollte der Benutzer da also noch zusätzlich was eintragen?

[alf29]

Moin,

wo steht das? Den RADIUS-Server interessiert es in erster Näherung mal überhaupt nicht, für was für einen Dienst (802.1X, Public Spot, MAC-Adressen) authentisiert wird. Def Default-Realm ist erstmal nur der Realm, der angenommen wird, wenn für einen bestimmten Realm kein Eintrag in der Forwarder-Tabelle existiert. Und leerlassen bedeutet dann einfach, daß der RADIUS-Server die Anfrage lokal bearbeitet.

Gruß Alfred

[jbaecker]

Seite 110, Erläuterung 1:

Da die Benutzernamen für die Gastzugänge automatisch erzeugt werden,
wird für diese Benutzernamen der Realm “PSpot” verwendet. Da in der
Weiterleitungstabelle kein entsprechender Eintrag vorhanden ist und der
Standard-Realm leer ist, werden alle Authentifizierungsanfragen mit diesem
Realm an den internen RADIUS-Server weitergeleitet.

[Bernie137]

Warum sollte der Benutzer da also noch zusätzlich was eintragen?

Weil auf seinem Ticket Ausdruck dann steht:

userXXXXX@public

Und das ist dann mit Realm. Was man nach dem @ Zeichen anhängt ist wurscht. Ob nun PSpot oder was anderes.

Gruß Heiko