Hallo zusammen,
unsere User Authentifizieren sich gegen einen Radius Server, das funktioniert auch alles soweit. Jetzt möchte ich zusätzlich sicherstellen, dass sich die User nur mit bestimmten Geräten einloggen können.
Dazu würde ich gerne die MAC-Adressen über RADIUS Authentifizieren. Geht das und was muss ich dazu auf dem Access Points einstellen. Wie trage ich die Mac-Adressen auf dem Radius Server (IAS von Microsoft) ein?
Viele Grüße,
Heino
MAC-Adressen über RADIUS Authentifizieren
Moderator: Lancom-Systems Moderatoren
Moin,
lassen, das also keine besonders hohe zusätzliche Hürde
ist?
'positiv' stellen und unter 'Setup->WLAN->RADIUS-Access-
Check' die Daten des RADUIS-Servers (IP-Adresse, Port,
Secret) hinterlegen. Vor der 1x-Authentisierung fragt das
LANCOM dann nach einem "Benutzer" der Form
"aabbcc-ddeeff", wobei aa:bb:cc:dd:ee:ff die MAC-Adresse
des Clients ist. Als "Paßwort" wird je nach Einstellung von
Setup->WLAN->RADIUS-Access-Check->Password-Source
entweder das gleiche oder das shared secret übermittelt.
Beachte aber bitte, daß sich damit keine 1:1-Zuordnung
von MAC-Adressen und 1x-Benutzerkennungen ergibt -
die beiden Sachen laufen unabhängig voneinander, ein
Benutzer mit einer zugelassenen MAC-Adresse könnte
die 1x-Benutzerkennung eines anderen zugelassenen
Benutzers verwenden. Wenn man das miteinander
verknüpfen möchte, ist die separate MAC-Prüfung der
falsche Weg, der RADIUS-Server, der die
1x-Authentisierung macht, müßte dazu zusätzlich das
RADIUS-Attribut 'Calling-Station-Id' mit auswerten, in dem
er vom AP die Client-MAC-Adresse übermittelt bekommt.
Wie man das mit einem IAS machen könnte, weiß ich
aber nicht.
Gruß Alfred
Dir ist schonklar, daß MAC-Adressen sich recht leicht ändernJetzt möchte ich zusätzlich sicherstellen, dass sich die User nur mit bestimmten Geräten einloggen können.
lassen, das also keine besonders hohe zusätzliche Hürde
ist?
Du kannst unter Setup->WLAN den 'Access-Mode' aufDazu würde ich gerne die MAC-Adressen über RADIUS Authentifizieren. Geht das und was muss ich dazu auf dem Access Points einstellen. Wie trage ich die Mac-Adressen auf dem Radius Server (IAS von Microsoft) ein?
'positiv' stellen und unter 'Setup->WLAN->RADIUS-Access-
Check' die Daten des RADUIS-Servers (IP-Adresse, Port,
Secret) hinterlegen. Vor der 1x-Authentisierung fragt das
LANCOM dann nach einem "Benutzer" der Form
"aabbcc-ddeeff", wobei aa:bb:cc:dd:ee:ff die MAC-Adresse
des Clients ist. Als "Paßwort" wird je nach Einstellung von
Setup->WLAN->RADIUS-Access-Check->Password-Source
entweder das gleiche oder das shared secret übermittelt.
Beachte aber bitte, daß sich damit keine 1:1-Zuordnung
von MAC-Adressen und 1x-Benutzerkennungen ergibt -
die beiden Sachen laufen unabhängig voneinander, ein
Benutzer mit einer zugelassenen MAC-Adresse könnte
die 1x-Benutzerkennung eines anderen zugelassenen
Benutzers verwenden. Wenn man das miteinander
verknüpfen möchte, ist die separate MAC-Prüfung der
falsche Weg, der RADIUS-Server, der die
1x-Authentisierung macht, müßte dazu zusätzlich das
RADIUS-Attribut 'Calling-Station-Id' mit auswerten, in dem
er vom AP die Client-MAC-Adresse übermittelt bekommt.
Wie man das mit einem IAS machen könnte, weiß ich
aber nicht.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Das man die MAC-Adressen leicht fälschen kann ist mir klar, aber ganz ohne kann jeder User seine Private Hardware einfach so ins Netz hängen wenn er einen Firmenlaptop hat.
Im LANconfig finde ich weder den Punkt Access-Mode noch den punkt RADIUS-Access-Check...
WIr haben hier L-305agn mit V7.70.
Viele Grüße,
Heino
Im LANconfig finde ich weder den Punkt Access-Mode noch den punkt RADIUS-Access-Check...
WIr haben hier L-305agn mit V7.70.
Viele Grüße,
Heino
Moin,
scusi, wenn ich Pfade angebe, bezieht sich das immer auf
die CLI bzw den LCOS-Menübaum in der WEBconfig (mit
Windows hab' ich's nicht so...)
Wireless LAN -> Stationen: Vn den Radio-Buttons die
zweite Variante wählen (Daten von den aufgeführten
Stationen übertragen...), und dann direkt darunter den
RADIUS-Server eintragen.
Gruß Alfred
scusi, wenn ich Pfade angebe, bezieht sich das immer auf
die CLI bzw den LCOS-Menübaum in der WEBconfig (mit
Windows hab' ich's nicht so...)
Wireless LAN -> Stationen: Vn den Radio-Buttons die
zweite Variante wählen (Daten von den aufgeführten
Stationen übertragen...), und dann direkt darunter den
RADIUS-Server eintragen.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015