Benutzerauthentifizierung W-LAN Zugang Internet über RADIUS

[DaGoodness]

Hallo,

das Thema RADIUS wurde hier zwar schon in mehreren Threads besprochen, aber ich denke ich habe eine etwas andere Anforderung und wollt mal fragen ob das was ich vor habe überhaupt möglich ist, bzw. ob das vielleicht schonmal jemand gemacht hat?

Also folgendes Szenario:

Schule mit internem Schulnetz (172.x.x.x), MS2003 DC mit sämtlichen Schülern und Lehrern im AD, ISA 2006 als Proxy für Internetzugang, WAN-Router hinter dem ISA in eigenem Netz (192.x.x.x).

Nun haben die Schüler die Möglichkeit mit ihren PRIVATEN, NICHT IN DER DOMÄNE befindlichen Notebooks über W-LAN ins Internet zu gehen.

Dies ist folgendermaßen realisiert:
WLC-4006 mit in der Schule verteilen L-310/321agn´s, WLC hat LAN-Verbindung zum internen Schulnetz UND direkt zum WAN-Router, W-LAN Profil mit 2 SSIDs (extern und intern), bei Verbindung mit W-LAN "intern" hätte man Zugriff aufs Schulnetz (SSID ist versteckt, Netz ist WPA2 verschlüsselt, wird nur von Schulnotebooks die Domänenmitglieder sind genutzt), bei Verbindung mit "extern" (offenes W-LAN mit Authentifizierung über integrierten RADIUS des WLC) wird man über VLAN direkt zum Router und ins Internet geleitet.

Hintergrund der ganzen Geschichte: Private Notebooks der Schüler haben im Schulnetz NICHTS verloren!!

Weiter im Text...

Bislang ist es so dass ich für jeden Schüler der mit seinem Notebook ins Internet möchte vom WLC ein Voucher generieren lasse mit dem er sich über seinen Browser einloggen und somit surfen kann. Dies wird aber auf Dauer bei 3000 Schülern und immer mehr Interessierten sehr mühsam

Nun zu meiner Anforderung:
Da sich sämtliche Schüler ja bereits im Schulnetz im AD befinden, habe ich mir gedacht dass sie sich ja auch mit ihrer Schulkennung authentifizieren könnten. Ist es also möglich dass die Schüler sich über die externe SSID, mit Geräten die in der Schuldomäne nicht bekannt sind, dort nichts zu suchen haben und dort auch nicht auftauchen sollen, an einem MS2008 RADIUS-Server IM Schulnetz mit ihrer Domänenkennung authentifizieren und aufgrund der Authentifizierung den Zugang zum WAN-Router (NICHT ins Schulnetz) und damit ins Internet zu bekommen???

Ich hoffe das ist verständlich erklärt

[DaGoodness]

Nutzt denn niemand die Public-Spot Funktion mit einem externen RADIUS-Server?

[DaGoodness]

1375 Aufrufe und keiner hat was dazu zu sagen?

[janosch]

Prinzipiell kannst du Public Spot auch mit einem externen RADIUS-Server betreiben, da spricht nichts dagegen.

Wenn es in der Schule keine Externen gibt, sondern nur bekannte Benutzer kannst du auch eine ganz normale WPA-802.1x (Enterprise) Authentifizierung durchführen.

Bauchschmerzen bereitet mir nur die Tatsache, dass du von 3000 Schülern sprichst aber nur einen WLC-4006 zur Verfügung hast, der ja nur 12 APs verwalten kann. Ich hoffe die Schüler sind nie alle gleichzeitig im Unterricht, geschweige denn im WLAN verbunden.

[DaGoodness]

Erstmal danke für die Antwort!

Also die Bauchschmerzen kann ich dir nehmen

Es sind momentan 6 AP´s im Einsatz und momentan gibt es ca. 170 Public-Spot Benutzer auf dem WLC, wovon im Normalfall vielleicht maximal 100 User gleichzeitig im W-LAN angemeldet sind.

Der erste Schritt sieht jetzt so aus dass in den nächsten Monaten nochmal so ca. 70-80 Public-Benutzer hinzukommen.

Meines Wissen wäre der WLC was die Anzahl der Public-Spot Benutzer angeht eh am Ende (max. 256 oder so?... sollte irgendwann eine flächendeckende Ausleuchtung der Schule angedacht sein, muss der Controller eh ersetzt werden )


Daher halt auch die Idee die Authentifizierung über AD zu machen, da die Benutzer dort ja eh schon existieren. Ausserdem bin ich dann doch nicht mehr an die maximale Benutzergrenze des kleinen WLC 4006 gebunden, da diese nicht mehr auf dem WLC selbst eingetragen sind, oder?

Die Frage wäre halt ob ich dafür einen RADIUS-Server brauche oder ob es andere Möglichkeiten gibt dass der WLC mit dem AD kommuniziert und Benutzerdaten dort abfragt. Und wenn es halt über RADIUS geht, wäre die Frage wie der RADIUS zu konfigurieren wäre. Im Normalfall macht man ja eine portbasierte 802.1x Authentifizierung anhand der angeschlossenen Geräte und mit Hilfe von Zertifikaten.

Da die Geräte der Schüler selbst aber ja keinerlei Verbindung zum RADIUS bzw. DC bekommen, sondern nur der WLC eine Verbindung hat, ist die Frage wie konfiguriere ich den RADIUS so dass er wirklich nur Benutzername und Passwort vom WLC bekommt, an den DC weitergibt und falls der Benutzer exisitiert halt ein entsprechendes "OK" vom DC zurückbekommt, diese an den WLC weitergibt und die Schüler Zugriff ins Internet bekommen.

Ich hoffe das war alles einigermaßen verständlich

[janosch]

Meines Wissen wäre der WLC was die Anzahl der Public-Spot Benutzer angeht eh am Ende (max. 256 oder so?... sollte irgendwann eine flächendeckende Ausleuchtung der Schule angedacht sein, muss der Controller eh ersetzt werden )

Genau, maximal 256 User im WLC-4006. Die beiden größeren Modelle packen so viele User bis der Speicher ausgeht.

Daher halt auch die Idee die Authentifizierung über AD zu machen, da die Benutzer dort ja eh schon existieren. Ausserdem bin ich dann doch nicht mehr an die maximale Benutzergrenze des kleinen WLC 4006 gebunden, da diese nicht mehr auf dem WLC selbst eingetragen sind, oder?

Richtig, der WLC fungiert als Authenticator. Die Anfragen werden alle an den angegebenen RADIUS-Server geleitet.

Die Frage wäre halt ob ich dafür einen RADIUS-Server brauche oder ob es andere Möglichkeiten gibt dass der WLC mit dem AD kommuniziert und Benutzerdaten dort abfragt. Und wenn es halt über RADIUS geht, wäre die Frage wie der RADIUS zu konfigurieren wäre. Im Normalfall macht man ja eine portbasierte 802.1x Authentifizierung anhand der angeschlossenen Geräte und mit Hilfe von Zertifikaten.

Wenn du Public Spot nutzen willst brauchst du RADIUS (ob intern oder extern) und wenn du eine 802.1x basierte Authentifizierung machen willst brauchst du auch RADIUS. Da wirst du nicht drumherum kommen, meines Wissens nach bringt Windows Server einen eigenen RADIUS-Server mit, der wird bis zur Version 2008 unter IAS geführt.

Da die Geräte der Schüler selbst aber ja keinerlei Verbindung zum RADIUS bzw. DC bekommen, sondern nur der WLC eine Verbindung hat, ist die Frage wie konfiguriere ich den RADIUS so dass er wirklich nur Benutzername und Passwort vom WLC bekommt, an den DC weitergibt und falls der Benutzer exisitiert halt ein entsprechendes "OK" vom DC zurückbekommt, diese an den WLC weitergibt und die Schüler Zugriff ins Internet bekommen.

Deine SSID richtest du entweder als Public Spot (also in dem Fall wohl offen) oder als 802.11i (WPA)-802.1x verschlüsseltes WLAN ein.

Im ersten Szenario kommt immer die Public Spot Seite hoch, im zweiten Szenario sieht das für die Schüler aus wie eine WPA2 Anmeldung, die allerdings personalisiert erfolgt. Als Benutzername fungiert dann die MAC-Adresse und das Passwort kann frei vergeben werden.

Wenn du Public Spot nutzt, dann musst du in der Anbieter-Liste lediglich den externen Public Spot angeben.

Bei 802.1x Authentifizierung musst du den Weiterleitungs-Server eintragen.

[DaGoodness]

Also es soll schon die Public-Spot Funktion, also ein offenes W-LAN genutzt werden.

Kennt sich denn jemand mit der 2008 RADIUS Konfiguration aus und kann mir helfen den RADIUS Server so zu konfigurieren dass er die Benutzerdaten vom AD abfragt?

Das mit der Weiterleitung des WLC funktioniert schonmal. Ich sehe in den LOGs des Radius die Benutzerdaten die ich auf der Public Spot Anmeldeseite angebe um mich zu authentifizieren.

Jetzt muss der RADIUS diese Daten quasi nur noch beim AD abfragen und ein entsprechendes ACK an den WLC zurücksenden.

Vielleicht hat ja schonmal jemand so ein Szenario aufgebaut bzw. kennt sich sehr gut mit dem 2008 RADIUS aus.

Vielen Dank!

Gruß
Thomas