{"id":37065,"date":"2019-10-31T22:15:33","date_gmt":"2019-10-31T19:15:33","guid":{"rendered":"https:\/\/prohoster.info\/blog\/wifi-enterprise-freeradius-freeipa-ubiquiti\/"},"modified":"2019-10-31T22:15:33","modified_gmt":"2019-10-31T19:15:33","slug":"wifi-enterprise-freeradius-freeipa-ubiquiti","status":"publish","type":"post","link":"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/wifi-enterprise-freeradius-freeipa-ubiquiti","title":{"rendered":"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti","gt_translate_keys":[{"key":"rendered","format":"text"}]},"content":{"rendered":"<p><img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/4c045a0710e5eb14b73359afad484c3d.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nEs wurden bereits einige Beispiele f\u00fcr die Organisation von Unternehmens-WiFi beschrieben. Hier erkl\u00e4re ich, wie ich eine \u00e4hnliche L\u00f6sung umgesetzt habe und welche Probleme beim Anschluss an verschiedenen Ger\u00e4ten aufgetreten sind. Wir verwenden ein bestehendes LDAP mit angelegten Benutzern, richten FreeRadius ein und konfigurieren WPA2-Enterprise auf dem Ubnt-Controller. Scheint einfach zu sein. Mal sehen\u2026<br \/>\n<noindex><a rel=\"nofollow\" name=\"habracut\"><\/a><\/noindex><\/p>\n<h2>Einige Methoden des EAP<\/h2>\n<p>\nBevor wir mit der Aufgabenstellung beginnen, m\u00fcssen wir kl\u00e4ren, welche Authentifizierungsmethode wir in unserer L\u00f6sung verwenden werden.<\/p>\n<p><b>Aus Wikipedia:<\/b><\/p>\n<blockquote><p>EAP ist ein Authentifizierungsrahmenwerk, das h\u00e4ufig in drahtlosen Netzwerken und Punkt-zu-Punkt-Verbindungen verwendet wird. Das Format wurde erstmals in RFC 3748 beschrieben und in RFC 5247 aktualisiert.<br \/>\nEAP wird verwendet, um die Authentifizierungsmethode, den Schl\u00fcssel\u00fcbertrag und die Verarbeitung dieser Schl\u00fcssel durch Module, die als EAP-Methoden bezeichnet werden, auszuw\u00e4hlen. Es gibt viele EAP-Methoden, sowohl solche, die zusammen mit dem EAP selbst definiert sind, als auch solche, die von einzelnen Herstellern herausgegeben werden. EAP definiert nicht die zweite Schicht, sondern nur das Nachrichtenformat. Jedes Protokoll, das EAP verwendet, hat sein eigenes EAP-Nachrichten-Kapselungsprotokoll. <\/p><\/blockquote>\n<p>\n<b>Die Methoden selbst:<\/b><\/p>\n<ul>\n<li>LEAP \u2014 ein propriet\u00e4res Protokoll, das von CISCO entwickelt wurde. Es wurden Schwachstellen gefunden. Derzeit wird eine Nutzung nicht empfohlen. <\/li>\n<li> EAP-TLS \u2014 wird von Anbietern drahtloser Verbindungen gut unterst\u00fctzt. Es handelt sich um ein sicheres Protokoll, da es der Nachfolger der SSL-Standards ist. Die Client-Konfiguration ist ziemlich komplex. Ein Client-Zertifikat ist neben dem Passwort erforderlich. Es wird in vielen Systemen unterst\u00fctzt. <\/li>\n<li> EAP-TTLS \u2014 wird in vielen Systemen weit unterst\u00fctzt, bietet eine gute Sicherheit, indem PKI-Zertifikate lediglich auf dem Authentifizierungsserver verwendet werden. <\/li>\n<li> EAP-MD5 \u2014 ein weiterer offener Standard. Bietet minimale Sicherheit. Ist anf\u00e4llig und unterst\u00fctzt weder die gegenseitige Authentifizierung noch die Schl\u00fcsselgenerierung. <\/li>\n<li> EAP-IKEv2 \u2014 basiert auf dem Internet Key Exchange Protocol Version 2. Es gew\u00e4hrleistet die gegenseitige Authentifizierung und die Einrichtung eines Sitzungsschl\u00fcssels zwischen Client und Server. <\/li>\n<li> PEAP \u2014 eine gemeinsame L\u00f6sung von CISCO, Microsoft und RSA Security als offener Standard. Weit verbreitet in Produkten und bietet sehr gute Sicherheit. \u00c4hnlich wie EAP-TTLS, ben\u00f6tigt es nur ein Zertifikat auf der Serverseite. <\/li>\n<li> PEAPv0\/EAP-MSCHAPv2 \u2014 nach EAP-TLS der weltweit zweitweitverbreitetste Standard. Es wird f\u00fcr die Client-Server-Interaktion in Microsoft, Cisco, Apple und Linux verwendet. <\/li>\n<li> PEAPv1\/EAP-GTC \u2014 von Cisco als Alternative zu PEAPv0\/EAP-MSCHAPv2 entwickelt. Sch\u00fctzt die Authentifizierungsdaten in keiner Weise. Nicht unterst\u00fctzt in Windows OS. <\/li>\n<li> EAP-FAST \u2014 eine Methode, die von Cisco zur Behebung der M\u00e4ngel von LEAP entwickelt wurde. Verwendet Protected Access Credential (PAC). Ist noch nicht vollst\u00e4ndig ausgereift. <\/li>\n<\/ul>\n<p>\nTrotz dieser Vielfalt ist die Auswahl doch nicht gro\u00df. Von der Authentifizierungsmethode wurde gefordert: gute Sicherheit, Unterst\u00fctzung auf allen Ger\u00e4ten (Windows 10, macOS, Linux, Android, iOS) und je einfacher, desto besser. Daher fiel die Wahl auf EAP-TTLS in Verbindung mit dem PAP-Protokoll. <br \/>\nEs k\u00f6nnte die Frage aufkommen \u2014 warum sollte man PAP verwenden? \u00dcbertr\u00e4gt es doch Passw\u00f6rter im Klartext? <\/p>\n<p>Ja, das ist korrekt. Die Kommunikation zwischen FreeRadius und FreeIPA erfolgt genau so. Im Debug-Modus kann man verfolgen, wie Benutzername und Passwort gesendet werden. Und wenn sie gesendet werden, dann haben Sie Zugriff auf den FreeRadius-Server.<\/p>\n<p>Weitere Informationen zur Funktionsweise von EAP-TTLS finden Sie hier. <noindex><a rel=\"nofollow\" href=\"https:\/\/ru.bmstu.wiki\/EAP-TTLS_(Tunneled_Transport_Layer_Security)\">hier<br \/>\n<\/a><\/noindex><\/p>\n<h2>FreeRADIUS<\/h2>\n<p>\nWir werden FreeRadius auf CentOS 7.6 einrichten. Das ist ganz einfach, wir installieren es auf die gewohnte Weise.<\/p>\n<pre><code class=\"bash\">yum install freeradius freeradius-utils freeradius-ldap -y<\/code><\/pre>\n<p>\n<i>Die installierte Version ist 3.0.13. Die neueste Version finden Sie auf <noindex><a rel=\"nofollow\" href=\"https:\/\/freeradius.org\/\">https:\/\/freeradius.org\/<\/a><\/noindex><\/i><\/p>\n<p>Nach dieser Installation funktioniert FreeRadius bereits. In \/etc\/raddb\/users k\u00f6nnen wir die Zeile auskommentieren,<\/p>\n<pre><code class=\"bash\">steve   Klartext-Passwort := \"testing\"<\/code><\/pre>\n<p>\nStarten Sie den Server im Debug-Modus<\/p>\n<pre><code class=\"bash\">freeradius -X<\/code><\/pre>\n<p>\nUnd f\u00fchren Sie einen Testanschluss von localhost durch<\/p>\n<pre><code class=\"bash\">radtest steve testing 127.0.0.1 1812 testing123<\/code><\/pre>\n<p>\nAntwort erhalten <i>Received Access-Accept Id 115 from 127.0.0.1:1812 to 127.0.0.1:56081 length 20<\/i>, das bedeutet, alles ist gut. Weiter geht's.<\/p>\n<p>Wir aktivieren das Modul <i><b>ldap<\/b><\/i>.<\/p>\n<pre><code class=\"bash\">ln -s \/etc\/raddb\/mods-available\/ldap \/etc\/raddb\/mods-enabled\/ldap<\/code><\/pre>\n<p>\nUnd \u00e4ndern es sofort. Wir ben\u00f6tigen, dass FreeRadius auf FreeIPA zugreifen kann.<\/p>\n<p><b class=\"spoiler_title\">mods-enabled\/ldap<\/b><\/p>\n<pre><code class=\"bash\">ldap {\nserver=\"ldap:\/\/ldap.server.com\"\nport=636\nstart_tls=ja\nidentity=\"uid=admin,cn=users,dc=server,dc=com\"\npassword=**********\nbase_dn=\"cn=users,dc=server,dc=com\"\nset_auth_type=ja\n...\nuser {\nbase_dn=\"${..base_dn}\"\nfilter=\"(uid=%{%{Stripped-User-Name}:-%{User-Name}})\"\n}\n...<\/code><\/pre>\n<p>Starten Sie den Radius-Server neu und \u00fcberpr\u00fcfen Sie die Synchronisation der LDAP-Benutzer:<\/p>\n<pre><code class=\"bash\">radtest user_ldap password_ldap localhost 1812 testing123<\/code><\/pre>\n<p>\nWir bearbeiten eap in <i><b>mods-enabled\/eap<\/b><\/i><br \/>\nHier f\u00fcgen wir zwei Instanzen von eap hinzu. Diese unterscheiden sich nur durch die Zertifikate und Schl\u00fcssel. Weiter unten erkl\u00e4re ich, warum genau so.<\/p>\n<p><b class=\"spoiler_title\">mods-enabled\/eap<\/b><\/p>\n<pre><code class=\"bash\">eap eap-client {                                                                                                                                                                                                                           default_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}\n           tls-config tls-common {\n           private_key_file = ${certdir}\/fisrt.key\n           certificate_file = ${certdir}\/first.crt\n           dh_file = ${certdir}\/dh\n           ca_path = ${cadir}\n           cipher_list = \"HIGH\"\n           cipher_server_preference = no\n           ecdh_curve = \"prime256v1\"\n           check_crl = no\n           }\n                                                                                                                                                                                                                                                                                                                                                                                                                                                 \n           ttls {\n           tls = tls-common\n           default_eap_type = md5\n           copy_request_to_tunnel = no\n           use_tunneled_reply = yes\n           virtual_server = \"inner-tunnel\"\n           }\n}\neap eap-guest {\ndefault_eap_type = ttls                                                                                                                                                                                                                 timer_expire = 60                                                                                                                                                                                                                       ignore_unknown_eap_types = no                                                                                                                                                                                                          cisco_accounting_username_bug = no                                                                                                                                                                                                      max_sessions = ${max_requests}\n           tls-config tls-common {\n           private_key_passwotd=blablabla\n           private_key_file = ${certdir}\/server.key\n           certificate_file = ${certdir}\/server.crt\n           dh_file = ${certdir}\/dh\n           ca_path = ${cadir}\n           cipher_list = \"HIGH\"\n           cipher_server_preference = no\n           ecdh_curve = \"prime256v1\"\n           check_crl = no\n           }\n                                                                                                                                                                                                                                                                                                                                                                                                                                                 \n           ttls {\n           tls = tls-common\n           default_eap_type = md5\n           copy_request_to_tunnel = no\n           use_tunneled_reply = yes\n           virtual_server = \"inner-tunnel\"\n           }\n}<\/code><\/pre>\n<p>Dann bearbeiten wir weiter <i><b>site-enabled\/default<\/b><\/i>. Wir interessieren uns f\u00fcr die Abschnitte authorize und authenticate.<\/p>\n<p><b class=\"spoiler_title\">site-enabled\/default<\/b><\/p>\n<pre><code class=\"bash\">authorize {\n  filter_username\n  preprocess\n  if (&amp;User-Name == \"guest\") {\n   eap-guest {\n       ok = return\n   }\n  }\n  elsif (&amp;User-Name == \"client\") {\n    eap-client {\n       ok = return \n    }\n  }\n  else {\n    eap-guest {\n       ok = return\n    }\n  }\n  ldap\n  if ((ok || updated) &amp;&amp; User-Password) {\n    update {\n        control:Auth-Type := ldap\n    }\n  }\n  expiration\n  logintime\n  pap\n  }\n\nauthenticate {\n  Auth-Type LDAP {\n    ldap\n  }\n  Auth-Type eap-guest {\n    eap-guest\n  }\n  Auth-Type eap-client {\n    eap-client\n  }\n  pap\n}<\/code><\/pre>\n<p>Im Abschnitt authorize entfernen wir alle Module, die wir nicht ben\u00f6tigen. Wir lassen nur ldap \u00fcbrig. Zus\u00e4tzlich f\u00fcgen wir eine \u00dcberpr\u00fcfung des Clients anhand des Benutzernamens hinzu. Genau daf\u00fcr haben wir weiter oben zwei Instanzen von eap hinzugef\u00fcgt.<\/p>\n<p><b class=\"spoiler_title\">Multi EAP<\/b>Es ist so, dass wir beim Anschluss bestimmter Ger\u00e4te systemweite Zertifikate nutzen und die Domain angeben werden. Wir verf\u00fcgen \u00fcber ein Zertifikat und einen Schl\u00fcssel von einer vertrauensw\u00fcrdigen Zertifizierungsstelle. Pers\u00f6nlich denke ich, dass ein solcher Anschluss einfacher ist, als jedes Ger\u00e4t mit einem selbstsignierten Zertifikat zu versehen. Allerdings konnten wir auch nicht ohne selbstsignierte Zertifikate auskommen. Ger\u00e4te von Samsung und Android-Versionen &lt;= 6 unterst\u00fctzen keine systemweiten Zertifikate. Daher erstellen wir f\u00fcr diese Ger\u00e4te ein separates Exemplar von eap-guest mit selbstsignierten Zertifikaten. F\u00fcr alle anderen Ger\u00e4te verwenden wir eap-client mit dem vertrauensw\u00fcrdigen Zertifikat. Der Benutzername wird anhand des Feldes Anonymous beim Anschluss des Ger\u00e4ts bestimmt. Es sind nur 3 Werte erlaubt: Guest, Client und ein leeres Feld. Alles andere wird verworfen. Dies wird in den Richtlinien konfiguriert. Ein Beispiel gebe ich etwas sp\u00e4ter.<\/p>\n<p>Wir bearbeiten die Abschnitte authorize und authenticate in <i><b>site-enabled\/inner-tunnel<\/b><\/i><\/p>\n<p><b class=\"spoiler_title\">site-enabled\/inner-tunnel<\/b><\/p>\n<pre><code class=\"bash\">authorize {\n  filter_username\n  filter_inner_identity\n  update control {\n   &amp;Proxy-To-Realm := LOCAL\n  }\n  ldap\n  if ((ok || updated) &amp;&amp; User-Password) {\n    update {\n        control:Auth-Type := ldap\n    }\n  }\n  expiration\n  digest\n  logintime\n  pap\n  }\n\nauthenticate {\n  Auth-Type eap-guest {\n    eap-guest\n  }\n  Auth-Type eap-client {\n    eap-client\n  }\n  Auth-Type PAP {\n    pap\n  }\n  ldap\n}<\/code><\/pre>\n<p>Als N\u00e4chstes m\u00fcssen wir in den Richtlinien festlegen, welche Namen f\u00fcr den anonymen Zugriff verwendet werden d\u00fcrfen. Bearbeiten wir. <b><i>policy.d\/filter<\/i><\/b>.<\/p>\n<p>Wir m\u00fcssen Zeilen finden, die so \u00e4hnlich sind:<\/p>\n<pre><code class=\"bash\">if (&amp;outer.request:User-Name !~ \/^(anon|@)\/) {\n  update request {\n    Module-Failure-Message = \"User-Name ist nicht anonymisiert\"\n  }\n  reject\n}<\/code><\/pre>\n<p>\nUnd unten im elsif die ben\u00f6tigten Werte hinzuf\u00fcgen:<\/p>\n<pre><code class=\"bash\">elsif (&amp;outer.request:User-Name !~ \/^(guest|client|@)\/) {\n  update request {\n    Module-Failure-Message = \"User-Name ist nicht anonymisiert\"\n  }\n  reject\n}<\/code><\/pre>\n<p>\nJetzt m\u00fcssen wir in das Verzeichnis wechseln <b><i>certs<\/i><\/b>. Hier m\u00fcssen der Schl\u00fcssel und das Zertifikat von der vertrauensw\u00fcrdigen Zertifizierungsstelle abgelegt werden, die wir bereits haben, und wir m\u00fcssen selbstsignierte Zertifikate f\u00fcr eap-guest generieren.<\/p>\n<p>Wir \u00e4ndern die Parameter in der Datei <b><i>ca.cnf<\/i><\/b>.<\/p>\n<p><b class=\"spoiler_title\">ca.cnf<\/b><\/p>\n<pre><code class=\"bash\">\n...\ndefault_days = 3650\ndefault_md = sha256\n...\ninput_password = blablabla\noutput_password = blablabla\n...\ncountryName = DE\nstateOrProvinceNmae = Bundesland\nlocalityNmae = Stadt\norganizationName = NONAME\nemailAddress = admin@admin.de\ncommonName = \"CA FreeRadius\"<\/code><\/pre>\n<p>Die gleichen Werte tragen wir in die Datei ein <b><i><i>server.cnf<\/i><\/i><\/b>. Wir \u00e4ndern nur <br \/>\n<b>commonName<\/b>:<\/p>\n<p><b class=\"spoiler_title\">server.cnf<\/b><\/p>\n<pre><code class=\"bash\">\n...\ndefault_days = 3650\ndefault_md = sha256\n...\ninput_password = blablabla\noutput_password = blablabla\n...\ncountryName = DE\nstateOrProvinceNmae = Bundesland\nlocalityNmae = Stadt\norganizationName = NONAME\nemailAddress = admin@admin.de\ncommonName = \"Server-Zertifikat FreeRadius\"<\/code><\/pre>\n<p>Wir erstellen:<\/p>\n<pre><code class=\"bash\">make<\/code><\/pre>\n<p>\nFertig. Die erhaltenen <b><i>server.crt<\/i><\/b> und <b><i>server.key<\/i><\/b> sind bereits oben in eap-guest aufgef\u00fchrt.<\/p>\n<p>Und zuletzt f\u00fcgen wir unsere Zugangspunkte in die Datei <b><i>client.conf<\/i><\/b>. Ich habe sieben. Um nicht jeden Punkt einzeln hinzuzuf\u00fcgen, geben wir nur das Netzwerk an, in dem sie sich befinden (meine Zugangspunkte sind in einem separaten VLAN).<\/p>\n<pre><code class=\"bash\">client APs {\nipaddr = 192.168.100.0\/24\npassword = password_AP\n}<\/code><\/pre>\n<p><\/p>\n<h2>Ubiquiti Controller<\/h2>\n<p>\nAuf dem Controller richten wir ein separates Netzwerk ein. Lassen Sie es 192.168.2.0\/24 sein.<br \/>\nGehen Sie zu Einstellungen -&gt; Profil. Erstellen Sie ein neues:<\/p>\n<p><img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/57d97f7ef2db1a62633aa16131435065.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nGeben Sie die Adresse und den Port des RADIUS-Servers sowie das Passwort an, das Sie in der Datei angegeben haben. <b><i>clients.conf<\/i><\/b>:<\/p>\n<p><img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/edab8e5ef03897c88bb45b2912e577ec.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nErstellen Sie einen neuen Namen f\u00fcr das drahtlose Netzwerk. W\u00e4hlen Sie als Authentifizierungsmethode WPA-EAP (Enterprise) und geben Sie das erstellte RADIUS-Profil an:<\/p>\n<p><img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/9dc918b734cac3d7382db796feb6b7a2.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nAlles speichern, anwenden und weitergehen.<\/p>\n<h2>Client-Konfiguration<\/h2>\n<p>\nBeginnen wir mit dem Schwierigsten!<\/p>\n<h3>Windows 10<\/h3>\n<p>\nDie Schwierigkeit besteht darin, dass Windows derzeit noch nicht in der Lage ist, sich mit dem Unternehmens-WLAN \u00fcber die Dom\u00e4ne zu verbinden. Daher m\u00fcssen wir unser Zertifikat manuell in das Trusted Certificate Store importieren. Hier kann sowohl ein selbstsigniertes als auch ein Zertifikat von einer Zertifizierungsstelle verwendet werden. Ich werde das zweite verwenden. <\/p>\n<p>Als N\u00e4chstes m\u00fcssen Sie eine neue Verbindung erstellen. Gehen Sie dazu zu Netzwerkeinstellungen und -internet -&gt; Netzwerk- und Freigabecenter -&gt; Neue Verbindung oder Netzwerk einrichten und konfigurieren:<\/p>\n<p><img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/406e515cff889ea70e226116f1dc0521.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\n<img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/f88e592920e43d42cc7fed34423f09ea.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\n<img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/1d7c045e02eb8e3b14016aacfa00da4c.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nWir geben manuell den Netzwerkname ein und \u00e4ndern den Sicherheitstyp. Danach klicken wir auf <i>Einstellungen f\u00fcr die Verbindung \u00e4ndern<\/i> und im Tab Sicherheit w\u00e4hlen wir die Netzwerkauthentifizierung \u2014 EAP-TTLS.<\/p>\n<p><img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/7e736b4cffd6dca5fdd9df70cedd7988.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\n<img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/6c328ff8b4a434ed488c46b594aa5108.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\n<img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/d4a3d2883088a06592addae770a12a16.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nWir gehen zu den Einstellungen und geben die Datenschutzparameter f\u00fcr die Authentifizierung ein \u2014 <b>client<\/b>. Als vertrauensw\u00fcrdige Zertifizierungsstelle w\u00e4hlen wir das von uns hinzugef\u00fcgte Zertifikat aus, aktivieren das Kontrollk\u00e4stchen \u201eBenutzer nicht auffordern, wenn die Serverauthentifizierung fehlschl\u00e4gt\u201c und w\u00e4hlen die Authentifizierungsmethode \u2014 unverschl\u00fcsseltes Passwort (PAP).<\/p>\n<p><img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/eb4897493f805f0d8869c22a1b706dec.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nDann gehen wir zu den erweiterten Einstellungen, aktivieren das Kontrollk\u00e4stchen \u201eGeben Sie den Authentifizierungsmodus an\u201c. Wir w\u00e4hlen den Punkt \u201eBenutzerauthentifizierung\u201c und klicken auf <i>Anmeldeinformationen speichern<\/i>. Hier m\u00fcssen wir username_ldap und password_ldap eingeben.<\/p>\n<p><img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/469bb4337e4e601a80de1021a48bc101.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\n<img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/999dc6c41a69b22c8de2b49398c9a613.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\n<img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/75347f2f7140cac58a181a325ab0f3ad.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nAlles speichern, anwenden und schlie\u00dfen. Jetzt kann man sich mit dem neuen Netzwerk verbinden.<\/p>\n<h3>Linux<\/h3>\n<p>\nIch habe es auf Ubuntu 18.04, 18.10, Fedora 29, 30 getestet.<\/p>\n<p>Zun\u00e4chst laden wir uns das Zertifikat herunter. Ich habe in Linux nicht herausgefunden, ob es m\u00f6glich ist, Systemzertifikate zu verwenden und ob es dort \u00fcberhaupt ein solches Speicher gibt. <\/p>\n<p>Wir werden uns \u00fcber die Domain verbinden. Daher ben\u00f6tigen wir ein Zertifikat von der Zertifizierungsstelle, von der unser Zertifikat erworben wurde.<\/p>\n<p>Die gesamte Verbindung erfolgt in einem Fenster. W\u00e4hlen Sie unser Netzwerk:<\/p>\n<p><img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/9e05f44a52ee7290921b5b74df718a0c.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\n<i>anonymous \u2014 client<br \/>\ndomain \u2014 die Domain, f\u00fcr die das Zertifikat ausgestellt wurde<br \/>\n<\/i><\/p>\n<h3>Android<\/h3>\n<p><\/p>\n<h4>non-Samsung<\/h4>\n<p>\nAb Version C 7 kann beim Verbinden mit WiFi das Systemzertifikat verwendet werden, indem nur die Domain angegeben wird:<\/p>\n<p><img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/f935493cbe35f5a19c4da8bb5632604f.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\n<i>domain \u2014 die Domain, f\u00fcr die das Zertifikat ausgestellt wurde<br \/>\nanonymous \u2014 client<br \/>\n<\/i><\/p>\n<h4>Samsung<\/h4>\n<p>\nWie bereits erw\u00e4hnt, k\u00f6nnen Samsung-Ger\u00e4te Systemzertifikate beim Verbinden mit WiFi nicht nutzen und haben keine M\u00f6glichkeit, sich \u00fcber die Domain zu verbinden. Daher muss das Stammzertifikat der Zertifizierungsstelle manuell hinzugef\u00fcgt werden (ca.pem, auf dem Radius-Server zu finden). Hier wird ein selbstsigniertes Zertifikat verwendet.<\/p>\n<p>Laden Sie das Zertifikat auf Ihr Ger\u00e4t herunter und installieren Sie es.<\/p>\n<p><b class=\"spoiler_title\">Zertifikatsinstallation<\/b><img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/d02770f35c44a618f2f6243085c258b8.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\n<img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/eb9ec984d5e68824ebd0b138551a87c2.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\n<img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/2c5c95c339b00085845470fdff56932e.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\n<img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/1561758abad60a168e067f1ecb0b94f5.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nDabei muss ein Entsperrbildschirm, ein PIN-Code oder ein Passwort eingerichtet werden, sofern dies noch nicht erfolgt ist:<\/p>\n<p><img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/eeb9189ecdb8c255f2b76918ec1954b5.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\n<img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/741c2f6df3e50c5ebb94c76e907efb33.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\n<i>Ich habe die komplizierte Variante der Zertifikatsinstallation gezeigt. Auf den meisten Ger\u00e4ten reicht es aus, einfach auf das heruntergeladene Zertifikat zu klicken.<\/i><\/p>\n<p>Nachdem das Zertifikat installiert ist, kann die Verbindung hergestellt werden:<\/p>\n<p><img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/4e2a8716b30634b3effdb0f2cbf781af.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\n<i>Zertifikat \u2014 geben Sie das an, das Sie installiert haben.<br \/>\nanonymer Benutzer \u2014 guest<br \/>\n<\/i><\/p>\n<h3>macOS<\/h3>\n<p>\nApple-Ger\u00e4te k\u00f6nnen standardm\u00e4\u00dfig nur mit EAP-TLS verbunden werden, ben\u00f6tigen jedoch trotzdem ein Zertifikat. Um eine andere Verbindungsmethode anzugeben, verwenden Sie Apple Configurator 2. Dazu m\u00fcssen Sie es zuerst auf Ihrem Mac herunterladen, ein neues Profil erstellen und alle erforderlichen WiFi-Einstellungen hinzuf\u00fcgen.<\/p>\n<p><b class=\"spoiler_title\">Apple Configurator<\/b><img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/1864dedc371b851dbf2594eff3ec7fc7.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\n<img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/0847466b361f681bcfcabee92f1ac885.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\n<i>Hier geben wir den Namen unseres Netzwerks an<br \/>\nSicherheitstyp \u2014 WPA2 Enterprise<br \/>\nAkzeptierte EAP-Typen \u2014 TTLS<br \/>\nBenutzername und Passwort \u2014 lassen Sie leer<br \/>\nInnere Authentifizierung \u2014 PAP<br \/>\n\u00c4u\u00dfere Identit\u00e4t \u2014 client <br \/>\n<\/i><\/p>\n<p><i>Reiter Vertrauensstellung. Hier geben wir unsere Domain an<\/i><\/p>\n<p>Fertig. Das Profil kann gespeichert, signiert und auf den Ger\u00e4ten verteilt werden.<\/p>\n<p>Nachdem das Profil fertig ist, muss es auf den Mac heruntergeladen und installiert werden. W\u00e4hrend der Installation m\u00fcssen Sie username_ldap und password_ldap des Benutzers angeben:<\/p>\n<p><img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/d7cb1cbcfd1de930d0718c1596bc60d7.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\n<img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/dd2e90a77fd9b64f6a98b0c0b21a080c.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\n<img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/c1cb62ec60fc835353c5e409a138f0be.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<\/p>\n<h3>iOS<\/h3>\n<p>\nDer Prozess ist \u00e4hnlich wie unter macOS. Es muss ein Profil verwendet werden (es kann genau dasselbe wie f\u00fcr macOS sein. Informationen zur Erstellung eines Profils im Apple Configurator finden Sie oben).<\/p>\n<p>Laden Sie das Profil herunter, installieren Sie es, geben Sie die Anmeldedaten ein und verbinden Sie sich:<\/p>\n<p><img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/9e2be411c0dfb427bfd54ad0b1f42dcb.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\n<img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/d637fa93c0bcf09d1a5eb3701f769d4f.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\n<img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/0908737918cd81cbf3e1ebf9ba0d9820.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\n<img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/3821dc0bd6f866730575c6ceb3d5bbfb.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\n<img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/b4b0bf189ac037345e33e7864bfb2ad8.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\n<img decoding=\"async\" alt=\"WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti\" src=\"\/wp-content\/uploads\/2019\/08\/f5f9b7168ac14b67d6f4753d050a742e.jpg\" style=\"display:block;margin: 0 auto;\" \/><br \/>\n<br \/>\nDas war's. Wir haben den Radius-Server konfiguriert, ihn mit FreeIPA synchronisiert und den Ubiquiti-Zugangs punkten angewiesen, WPA2-EAP zu verwenden.<\/p>\n<h2>M\u00f6gliche Fragen<\/h2>\n<p>\n<b>Frage:<\/b> Wie \u00fcbertr\u00e4gt man das Profil\/Zertifikat an einen Mitarbeiter?<\/p>\n<p><b>Antwort:<\/b> Ich speichere alle Zertifikate\/Profile auf einem FTP-Server, der \u00fcber das Web zug\u00e4nglich ist. Ich habe ein Gastnetzwerk mit Geschwindigkeitsbegrenzung und nur Internetzugang eingerichtet, mit Ausnahme des FTP-Zugangs. <br \/>\nDie Authentifizierung bleibt 2 Tage aktiv, danach wird sie zur\u00fcckgesetzt und der Kunde hat keinen Internetzugang mehr. Wenn der Mitarbeiter sich mit dem WiFi verbinden m\u00f6chte, verbindet er sich zun\u00e4chst mit dem Gastnetzwerk, greift auf das FTP zu, l\u00e4dt das ben\u00f6tigte Zertifikat oder Profil herunter, installiert diese und kann sich dann mit dem Unternehmensnetzwerk verbinden.<\/p>\n<p><b>Frage:<\/b> Warum die MSCHAPv2-Methode nicht verwenden? Sie ist doch sicherer!<\/p>\n<p><b>Antwort:<\/b> Erstens funktioniert diese Methode gut mit NPS (Windows Network Policy System). In unserer Implementierung m\u00fcssen wir zus\u00e4tzlich LDAP (FreeIPA) konfigurieren und die Passwort-Hashes auf dem Server speichern. Zus\u00e4tzliche Einstellungen sind unerw\u00fcnscht, da dies zu verschiedenen Synchronisationsproblemen f\u00fchren kann. Zweitens ist der Hash MD4, was die Sicherheit nicht wesentlich erh\u00f6ht.<\/p>\n<p><b>Frage:<\/b> Kann man Ger\u00e4te \u00fcber MAC-Adressen authentifizieren?<\/p>\n<p><b>Antwort:<\/b> NEIN, das ist nicht sicher. Ein Angreifer k\u00f6nnte die MAC-Adressen f\u00e4lschen, und eine Authentifizierung \u00fcber MAC-Adressen wird von vielen Ger\u00e4ten nicht unterst\u00fctzt. <\/p>\n<p><b>Frage:<\/b> Warum sollten wir \u00fcberhaupt all diese Zertifikate verwenden? Man kann sich doch auch ohne sie verbinden.<\/p>\n<p><b>Antwort:<\/b> Zertifikate werden verwendet, um den Server zu authentifizieren. Das bedeutet, dass das Ger\u00e4t beim Verbinden \u00fcberpr\u00fcft, ob es sich um den vertrauensw\u00fcrdigen Server handelt oder nicht. Wenn ja, wird die Authentifizierung fortgesetzt; wenn nein, wird die Verbindung getrennt. Es ist m\u00f6glich, sich ohne Zertifikate zu verbinden, aber wenn ein Angreifer oder Nachbar zu Hause einen RADIUS-Server und einen Access Point mit demselben Namen wie wir einrichtet, kann er leicht die Zugangsdaten des Benutzers abfangen (nicht vergessen, dass diese unverschl\u00fcsselt \u00fcbertragen werden). Wenn ein Zertifikat verwendet wird, sieht der Angreifer in seinen Logs nur unsere fiktiven Benutzernamen \u2013 guest oder client \u2013 und einen Fehler wie - Unknown CA Certificate.<\/p>\n<p><b class=\"spoiler_title\">Noch etwas \u00fcber macOS.<\/b>In der Regel erfolgt die Neuinstallation des Systems unter macOS \u00fcber das Internet. Im Wiederherstellungsmodus muss der Mac mit WiFi verbunden werden, und hier funktioniert weder unser Unternehmens-WiFi noch das Gastnetzwerk. Ich habe pers\u00f6nlich ein weiteres Netzwerk eingerichtet, ein normales WPA2-PSK-Netzwerk, versteckt, nur f\u00fcr technische Operationen. Alternativ kann man auch im Voraus einen bootf\u00e4higen USB-Stick mit dem System erstellen. Aber wenn der Mac nach 2015 hergestellt wurde, ben\u00f6tigt man au\u00dferdem einen Adapter f\u00fcr diesen USB-Stick.)<\/p>\n<p>Quelle: <a content=\"nofollow\" rel=\"nofollow\" href=\"https:\/\/habr.com\/ru\/post\/463225\/\">habr.com<\/a><\/p>","protected":false,"gt_translate_keys":[{"key":"rendered","format":"html"}]},"excerpt":{"rendered":"<p>\u0423\u0436\u0435 \u0431\u044b\u043b\u0438 \u043e\u043f\u0438\u0441\u0430\u043d\u044b \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u0440\u0438\u043c\u0435\u0440\u044b \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438 \u043a\u043e\u0440\u043f\u043e\u0440\u0430\u0442\u0438\u0432\u043d\u043e\u0433\u043e WiFi. \u0417\u0434\u0435\u0441\u044c \u044f \u0440\u0430\u0441\u043f\u0438\u0448\u0443 \u043a\u0430\u043a \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043b \u043f\u043e\u0434\u043e\u0431\u043d\u043e\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u0435 \u0438 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u044b \u0441 \u043a\u043e\u0442\u043e\u0440\u044b\u043c\u0438 \u043f\u0440\u0438\u0448\u043b\u043e\u0441\u044c \u0441\u0442\u043e\u043b\u043a\u043d\u0443\u0442\u044c\u0441\u044f \u043f\u0440\u0438 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0438 \u043d\u0430 \u0440\u0430\u0437\u043d\u044b\u0445 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432\u0430\u0445. \u0411\u0443\u0434\u0435\u043c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0443\u0436\u0435 \u0438\u043c\u0435\u044e\u0449\u0435\u0439\u0441\u044f LDAP \u0441 \u0437\u0430\u0432\u0435\u0434\u0435\u043d\u043d\u044b\u043c\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f\u043c\u0438, \u043f\u043e\u0434\u043d\u0438\u043c\u0435\u043c FreeRadius \u0438 \u043d\u0430\u0441\u0442\u0440\u043e\u0438\u043c WPA2-Enterprise \u043d\u0430 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u0435 Ubnt. \u0412\u0440\u043e\u0434\u0435 \u0432\u0441\u0435 \u043f\u0440\u043e\u0441\u0442\u043e. \u041f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c\u2026 \u041d\u0435\u043c\u043d\u043e\u0433\u043e \u043e \u043c\u0435\u0442\u043e\u0434\u0430\u0445 EAP \u041f\u0440\u0435\u0436\u0434\u0435 \u0447\u0435\u043c \u043f\u0440\u0438\u0441\u0442\u0443\u043f\u0438\u0442\u044c \u043a \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044e [&hellip;]<\/p>\n","protected":false,"gt_translate_keys":[{"key":"rendered","format":"html"}]},"author":1,"featured_media":27785,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[688],"tags":[],"class_list":["post-37065","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-administrirovanie"],"aioseo_notices":[],"aioseo_head":"\n\t\t<!-- All in One SEO 4.9.10 - aioseo.com -->\n\t<meta name=\"description\" content=\"\u0423\u0436\u0435 \u0431\u044b\u043b\u0438 \u043e\u043f\u0438\u0441\u0430\u043d\u044b \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u0440\u0438\u043c\u0435\u0440\u044b \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438 \u043a\u043e\u0440\u043f\u043e\u0440\u0430\u0442\u0438\u0432\u043d\u043e\u0433\u043e WiFi. \u0417\u0434\u0435\u0441\u044c \u044f \u0440\u0430\u0441\u043f\u0438\u0448\u0443 \u043a\u0430\u043a \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043b \u043f\u043e\u0434\u043e\u0431\u043d\u043e\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u0435 \u0438 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u044b \u0441 \u043a\u043e\u0442\u043e\u0440\u044b\u043c\u0438 \u043f\u0440\u0438\u0448\u043b\u043e\u0441\u044c \u0441\u0442\u043e\u043b\u043a\u043d\u0443\u0442\u044c\u0441\u044f \u043f\u0440\u0438 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0438 \u043d\u0430 \u0440\u0430\u0437\u043d\u044b\u0445 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432\u0430\u0445. \u0411\u0443\u0434\u0435\u043c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0443\u0436\u0435 \u0438\u043c\u0435\u044e\u0449\u0435\u0439\u0441\u044f LDAP \u0441 \u0437\u0430\u0432\u0435\u0434\u0435\u043d\u043d\u044b\u043c\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f\u043c\u0438, \u043f\u043e\u0434\u043d\u0438\u043c\u0435\u043c FreeRadius \u0438 \u043d\u0430\u0441\u0442\u0440\u043e\u0438\u043c WPA2-Enterprise \u043d\u0430 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u0435 Ubnt. \u0412\u0440\u043e\u0434\u0435 \u0432\u0441\u0435 \u043f\u0440\u043e\u0441\u0442\u043e. \u041f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c\u2026 \u041d\u0435\u043c\u043d\u043e\u0433\u043e \u043e \u043c\u0435\u0442\u043e\u0434\u0430\u0445 EAP \u041f\u0440\u0435\u0436\u0434\u0435 \u0447\u0435\u043c \u043f\u0440\u0438\u0441\u0442\u0443\u043f\u0438\u0442\u044c \u043a \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044e\" \/>\n\t<meta name=\"robots\" content=\"max-image-preview:large\" \/>\n\t<meta name=\"author\" content=\"Yuri Gagarin\"\/>\n\t<link rel=\"canonical\" href=\"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/wifi-enterprise-freeradius-freeipa-ubiquiti\" \/>\n\t<meta name=\"generator\" content=\"All in One SEO (AIOSEO) 4.9.10\" \/>\n\t\t<meta property=\"og:locale\" content=\"de_DE\" \/>\n\t\t<meta property=\"og:site_name\" content=\"ProHoster | \u041a\u0443\u043f\u0438\u0442\u044c \u043d\u0430\u0434\u0435\u0436\u043d\u044b\u0439 \u0445\u043e\u0441\u0442\u0438\u043d\u0433 \u0434\u043b\u044f \u0441\u0430\u0439\u0442\u043e\u0432 \u0441 \u0437\u0430\u0449\u0438\u0442\u043e\u0439 \u043e\u0442 DDoS, VPS VDS \u0441\u0435\u0440\u0432\u0435\u0440\u044b\" \/>\n\t\t<meta property=\"og:type\" content=\"article\" \/>\n\t\t<meta property=\"og:title\" content=\"\ud83e\udd47WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti | ProHoster\" \/>\n\t\t<meta property=\"og:description\" content=\"\u0423\u0436\u0435 \u0431\u044b\u043b\u0438 \u043e\u043f\u0438\u0441\u0430\u043d\u044b \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u0440\u0438\u043c\u0435\u0440\u044b \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438 \u043a\u043e\u0440\u043f\u043e\u0440\u0430\u0442\u0438\u0432\u043d\u043e\u0433\u043e WiFi. \u0417\u0434\u0435\u0441\u044c \u044f \u0440\u0430\u0441\u043f\u0438\u0448\u0443 \u043a\u0430\u043a \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043b \u043f\u043e\u0434\u043e\u0431\u043d\u043e\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u0435 \u0438 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u044b \u0441 \u043a\u043e\u0442\u043e\u0440\u044b\u043c\u0438 \u043f\u0440\u0438\u0448\u043b\u043e\u0441\u044c \u0441\u0442\u043e\u043b\u043a\u043d\u0443\u0442\u044c\u0441\u044f \u043f\u0440\u0438 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0438 \u043d\u0430 \u0440\u0430\u0437\u043d\u044b\u0445 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432\u0430\u0445. \u0411\u0443\u0434\u0435\u043c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0443\u0436\u0435 \u0438\u043c\u0435\u044e\u0449\u0435\u0439\u0441\u044f LDAP \u0441 \u0437\u0430\u0432\u0435\u0434\u0435\u043d\u043d\u044b\u043c\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f\u043c\u0438, \u043f\u043e\u0434\u043d\u0438\u043c\u0435\u043c FreeRadius \u0438 \u043d\u0430\u0441\u0442\u0440\u043e\u0438\u043c WPA2-Enterprise \u043d\u0430 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u0435 Ubnt. \u0412\u0440\u043e\u0434\u0435 \u0432\u0441\u0435 \u043f\u0440\u043e\u0441\u0442\u043e. \u041f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c\u2026 \u041d\u0435\u043c\u043d\u043e\u0433\u043e \u043e \u043c\u0435\u0442\u043e\u0434\u0430\u0445 EAP \u041f\u0440\u0435\u0436\u0434\u0435 \u0447\u0435\u043c \u043f\u0440\u0438\u0441\u0442\u0443\u043f\u0438\u0442\u044c \u043a \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044e\" \/>\n\t\t<meta property=\"og:url\" content=\"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/wifi-enterprise-freeradius-freeipa-ubiquiti\" \/>\n\t\t<meta property=\"og:image\" content=\"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg\" \/>\n\t\t<meta property=\"og:image:secure_url\" content=\"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg\" \/>\n\t\t<meta property=\"og:image:width\" content=\"350\" \/>\n\t\t<meta property=\"og:image:height\" content=\"350\" \/>\n\t\t<meta property=\"article:published_time\" content=\"2019-10-31T19:15:33+00:00\" \/>\n\t\t<meta property=\"article:modified_time\" content=\"2019-10-31T19:15:33+00:00\" \/>\n\t\t<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/prohoster\" \/>\n\t\t<meta property=\"article:author\" content=\"https:\/\/www.facebook.com\/prohoster\" \/>\n\t\t<!-- All in One SEO -->\n\n","aioseo_head_json":{"title":"\ud83e\udd47WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti | ProHoster","description":"Einige Beispiele f\u00fcr die Organisation von Unternehmens-WiFi wurden bereits beschrieben. Hier werde ich darlegen, wie ich eine \u00e4hnliche L\u00f6sung umgesetzt habe und mit welchen Problemen ich beim Anschluss an verschiedene Ger\u00e4te konfrontiert wurde. Wir werden das vorhandene LDAP mit den angelegten Benutzern nutzen, FreeRadius hochziehen und WPA2-Enterprise auf dem Ubnt-Controller einrichten. Das scheint alles einfach zu sein. Mal sehen\u2026 Ein wenig \u00fcber EAP-Methoden, bevor wir mit der Umsetzung beginnen.","canonical_url":"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/wifi-enterprise-freeradius-freeipa-ubiquiti","robots":"max-image-preview:large","keywords":"","webmasterTools":{"miscellaneous":""},"schema":null,"og:locale":"de_DE","og:site_name":"ProHoster | \u041a\u0443\u043f\u0438\u0442\u044c \u043d\u0430\u0434\u0435\u0436\u043d\u044b\u0439 \u0445\u043e\u0441\u0442\u0438\u043d\u0433 \u0434\u043b\u044f \u0441\u0430\u0439\u0442\u043e\u0432 \u0441 \u0437\u0430\u0449\u0438\u0442\u043e\u0439 \u043e\u0442 DDoS, VPS VDS \u0441\u0435\u0440\u0432\u0435\u0440\u044b","og:type":"article","og:title":"\ud83e\udd47WiFi Enterprise. FreeRadius + FreeIPA + Ubiquiti | ProHoster","og:description":"\u0423\u0436\u0435 \u0431\u044b\u043b\u0438 \u043e\u043f\u0438\u0441\u0430\u043d\u044b \u043d\u0435\u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043f\u0440\u0438\u043c\u0435\u0440\u044b \u043e\u0440\u0433\u0430\u043d\u0438\u0437\u0430\u0446\u0438\u0438 \u043a\u043e\u0440\u043f\u043e\u0440\u0430\u0442\u0438\u0432\u043d\u043e\u0433\u043e WiFi. \u0417\u0434\u0435\u0441\u044c \u044f \u0440\u0430\u0441\u043f\u0438\u0448\u0443 \u043a\u0430\u043a \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043b \u043f\u043e\u0434\u043e\u0431\u043d\u043e\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u0435 \u0438 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u044b \u0441 \u043a\u043e\u0442\u043e\u0440\u044b\u043c\u0438 \u043f\u0440\u0438\u0448\u043b\u043e\u0441\u044c \u0441\u0442\u043e\u043b\u043a\u043d\u0443\u0442\u044c\u0441\u044f \u043f\u0440\u0438 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u0438 \u043d\u0430 \u0440\u0430\u0437\u043d\u044b\u0445 \u0443\u0441\u0442\u0440\u043e\u0439\u0441\u0442\u0432\u0430\u0445. \u0411\u0443\u0434\u0435\u043c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0443\u0436\u0435 \u0438\u043c\u0435\u044e\u0449\u0435\u0439\u0441\u044f LDAP \u0441 \u0437\u0430\u0432\u0435\u0434\u0435\u043d\u043d\u044b\u043c\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f\u043c\u0438, \u043f\u043e\u0434\u043d\u0438\u043c\u0435\u043c FreeRadius \u0438 \u043d\u0430\u0441\u0442\u0440\u043e\u0438\u043c WPA2-Enterprise \u043d\u0430 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u043b\u0435\u0440\u0435 Ubnt. \u0412\u0440\u043e\u0434\u0435 \u0432\u0441\u0435 \u043f\u0440\u043e\u0441\u0442\u043e. \u041f\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c\u2026 \u041d\u0435\u043c\u043d\u043e\u0433\u043e \u043e \u043c\u0435\u0442\u043e\u0434\u0430\u0445 EAP \u041f\u0440\u0435\u0436\u0434\u0435 \u0447\u0435\u043c \u043f\u0440\u0438\u0441\u0442\u0443\u043f\u0438\u0442\u044c \u043a \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044e","og:url":"https:\/\/prohoster.info\/de\/blog\/administrirovanie\/wifi-enterprise-freeradius-freeipa-ubiquiti","og:image":"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg","og:image:secure_url":"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg","og:image:width":350,"og:image:height":350,"article:published_time":"2019-10-31T19:15:33+00:00","article:modified_time":"2019-10-31T19:15:33+00:00","article:publisher":"https:\/\/www.facebook.com\/prohoster","article:author":"https:\/\/www.facebook.com\/prohoster"},"aioseo_meta_data":{"post_id":"37065","title":null,"description":null,"keywords":null,"keyphrases":null,"primary_term":null,"canonical_url":null,"og_title":null,"og_description":null,"og_object_type":"default","og_image_type":"default","og_image_url":null,"og_image_width":null,"og_image_height":null,"og_image_custom_url":null,"og_image_custom_fields":null,"og_video":null,"og_custom_url":null,"og_article_section":null,"og_article_tags":null,"twitter_use_og":false,"twitter_card":"default","twitter_image_type":"default","twitter_image_url":null,"twitter_image_custom_url":null,"twitter_image_custom_fields":null,"twitter_title":null,"twitter_description":null,"schema":{"blockGraphs":[],"customGraphs":[],"default":{"data":{"Article":[],"Course":[],"Dataset":[],"FAQPage":[],"Movie":[],"Person":[],"Product":[],"ProductReview":[],"Car":[],"Recipe":[],"Service":[],"SoftwareApplication":[],"WebPage":[]},"graphName":"","isEnabled":true},"graphs":[]},"schema_type":null,"schema_type_options":null,"pillar_content":false,"robots_default":true,"robots_noindex":false,"robots_noarchive":false,"robots_nosnippet":false,"robots_nofollow":false,"robots_noimageindex":false,"robots_noodp":false,"robots_notranslate":false,"robots_max_snippet":null,"robots_max_videopreview":null,"robots_max_imagepreview":"large","priority":null,"frequency":null,"local_seo":null,"seo_analyzer_scan_date":"2026-01-22 05:57:19","breadcrumb_settings":null,"limit_modified_date":false,"reviewed_by":null,"ai":null,"created":"2021-02-28 17:36:42","updated":"2026-01-22 05:57:19"},"gt_translate_keys":[{"key":"link","format":"url"}],"_links":{"self":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts\/37065","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/comments?post=37065"}],"version-history":[{"count":0,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts\/37065\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/media\/27785"}],"wp:attachment":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/media?parent=37065"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/categories?post=37065"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/tags?post=37065"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}