Hallo zusammen,
wir bauen bei uns gerade neu auf und wollten Vouchers dazu benutzen um Kunden zu authentifizieren, damit sie ins I-Net kommen und ggf. ihr VPN aufbauen können. Meinem Chef reicht der Voucher aber nicht weil den könnte ja ein Mechaniker von uns sehen und dann für sein Handy, etc. benutzen. Jetzt kam der Gedanke auf die MAC-Adresse bei der ersten Anmeldung des Users einzutragen. Sinn dahinter soll sein dass das Passwort wirklich nur für die eine Person gelten soll.
Ich hab leider in den Handbüchern nichts derartiges gefunden und wollte fragen ob ihr so etwas schon umgesetzt habt oder ob euch Alternativen für dieses Problem einfallen.
Danke und Gruß,
Mad-Eye
PublicSpot User bei erster Anmeldung MAC binden
Moderator: Lancom-Systems Moderatoren
So, hab mal ein wenig weiter gesucht:
es ist wohl möglich das die MAC-Adresse im internen RADIUS-Server eingetragen werden kann. Das heißt für mich das eigentlich nur noch die Intelligenz in der Firmware fehlt die MAC-Adresse bei der ersten Anmeldung am Benutzer zu hinterlegen.
Find ich die Option bloß nicht oder sollte man das mal in die Verbesserungsvorschläge/Feature Wünsche eintragen?
Gruß
Mad-Eye
es ist wohl möglich das die MAC-Adresse im internen RADIUS-Server eingetragen werden kann. Das heißt für mich das eigentlich nur noch die Intelligenz in der Firmware fehlt die MAC-Adresse bei der ersten Anmeldung am Benutzer zu hinterlegen.
Find ich die Option bloß nicht oder sollte man das mal in die Verbesserungsvorschläge/Feature Wünsche eintragen?
Gruß
Mad-Eye
Moin,
Benutzertabelle Du jetzt abhebst...das was der Sache am
nächsten kommen würde, wäre die Called-Station-Id-Mask,
dort schreibt das Public-Spot-Modul die MAC-Adresse
rein (leider nicht in dem gleichen Format, wie's RFC3580
für 802.1x vorsieht, dazu ist das Public-Spot-Modul zu alt...).
so eine heiße Sache, die ansonsten nur sehr ungern und nur
in Ausnahmefällen gemacht wird (z.B. beim automatischen
Aufräumen der Benutzertabelle, das muß der Anwender aber
auch explizit einschalten). Der Grund ist, daß die Konfig
im Flash des Gerätes nur am Stück abgelegt werden kann,
man kann also nicht eine einzelne Tabelle im Flash gegen
den neuen Inhalt austauschen - eventuell an anderer Stelle
gemachte temporäre Änderungen werde damit implizit
mit permanent gemacht.
Schon eher könnte ich mir eine Speicherung der MAC-Adresse
zusammen mit den anderen Accounting-Daten vorstellen,
das ist eine getrennte Datei im Flash. Wäre aber so oder so
etwas, was jemand erstmal programmieren müßte...und über
den Wert vom MAC-Adressen als 'Authentisierungsmerkmal'
kann man sich heutzutage ohnehin streiten.
In der alten Benutzertabelle im Public-Spot-Modul ist eine
MAC-Adresse drin, ich kann mich in über 10 Jahren Public
Spot an keinen Kunden erinnern, der die genutzt hätte.
Wenn überhaupt, wollen manche Kunden bestimmte Clients
im Public-Spot *nur* anhand der MAC-Adresse zulassen,
d.h. ohne das Login mit Benutzernamen und Paßwort, und
dasfür sind in der 8.50 ja die neuen Punkte 'MAC-Address..'
unter Setup->Public-Spot reingekommen.
Gruß Alfred
Also ich weiß nicht, auf welche Spalte in der RADIUS-es ist wohl möglich das die MAC-Adresse im internen RADIUS-Server eingetragen werden kann.
Benutzertabelle Du jetzt abhebst...das was der Sache am
nächsten kommen würde, wäre die Called-Station-Id-Mask,
dort schreibt das Public-Spot-Modul die MAC-Adresse
rein (leider nicht in dem gleichen Format, wie's RFC3580
für 802.1x vorsieht, dazu ist das Public-Spot-Modul zu alt...).
Daß das Gerät sich selber in der Konfig herumschreibt, istDas heißt für mich das eigentlich nur noch die Intelligenz in der Firmware fehlt die MAC-Adresse bei der ersten Anmeldung am Benutzer zu hinterlegen.
so eine heiße Sache, die ansonsten nur sehr ungern und nur
in Ausnahmefällen gemacht wird (z.B. beim automatischen
Aufräumen der Benutzertabelle, das muß der Anwender aber
auch explizit einschalten). Der Grund ist, daß die Konfig
im Flash des Gerätes nur am Stück abgelegt werden kann,
man kann also nicht eine einzelne Tabelle im Flash gegen
den neuen Inhalt austauschen - eventuell an anderer Stelle
gemachte temporäre Änderungen werde damit implizit
mit permanent gemacht.
Schon eher könnte ich mir eine Speicherung der MAC-Adresse
zusammen mit den anderen Accounting-Daten vorstellen,
das ist eine getrennte Datei im Flash. Wäre aber so oder so
etwas, was jemand erstmal programmieren müßte...und über
den Wert vom MAC-Adressen als 'Authentisierungsmerkmal'
kann man sich heutzutage ohnehin streiten.
In der alten Benutzertabelle im Public-Spot-Modul ist eine
MAC-Adresse drin, ich kann mich in über 10 Jahren Public
Spot an keinen Kunden erinnern, der die genutzt hätte.
Wenn überhaupt, wollen manche Kunden bestimmte Clients
im Public-Spot *nur* anhand der MAC-Adresse zulassen,
d.h. ohne das Login mit Benutzernamen und Paßwort, und
dasfür sind in der 8.50 ja die neuen Punkte 'MAC-Address..'
unter Setup->Public-Spot reingekommen.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Hallo Alfred und danke für deine Antwort,
genau die Called-Station-Id-Mask habe ich gemeint. Deiner Erklärung kann ich größtenteils folgen, allerdings verstehe ich die Problematik mit der Config bzw. mit dem zurückschreiben selbiger nicht ganz: Wenn die Benutzer automatisch aufgeräumt werden können sollte es doch möglich sein auch einen Wert in diesen Bereich zu schreiben?
Und was die MAC-Adresse selbst angeht: Ja mir ist bekannt das es Mittel und Wege gibt diese zu ändern. Aber wäre es nicht intelligenter zwei Faktoren zu kombinieren (MAC und Voucher)? An eines der Beiden zu kommen ist möglich aber an Beide zusammen zu gelangen sollte doch etwas unwahrscheinlicher sein?
Gruß
Mad-Eye
genau die Called-Station-Id-Mask habe ich gemeint. Deiner Erklärung kann ich größtenteils folgen, allerdings verstehe ich die Problematik mit der Config bzw. mit dem zurückschreiben selbiger nicht ganz: Wenn die Benutzer automatisch aufgeräumt werden können sollte es doch möglich sein auch einen Wert in diesen Bereich zu schreiben?
Und was die MAC-Adresse selbst angeht: Ja mir ist bekannt das es Mittel und Wege gibt diese zu ändern. Aber wäre es nicht intelligenter zwei Faktoren zu kombinieren (MAC und Voucher)? An eines der Beiden zu kommen ist möglich aber an Beide zusammen zu gelangen sollte doch etwas unwahrscheinlicher sein?
Gruß
Mad-Eye