2 min read

Radius Benutzerauthentifizierung für Unifi - WLAN Netzwerke mit Univention/UCS

Als Software benutze ich das weit verbreitete FreeRadius, dass von Univention (UCS) vorkonfiguriert bereitgestellt wird. Univention ist ein komplettes Software Paket welches auf Benutzer und Identitätsmanagement ausgelegt ist, aber noch viel mehr als nur dieses bietet. Auf die Grundinstallation von UCS gehe ich hier nicht ein, der Hersteller selbst stellt eine ausführliche Dokumentation zur Verfügung.

Im Grunde ist das ganze Vorgehen nicht sonderlich kompliziert, da die Voreinstellung so gut angepasst sind, das alles problemlos funktionieren sollte. Die Einrichtung von FreeRadius mit FreeIPA ist da deutlich komplexer.

Installation von FreeRadius

Im App Center von UCS nach RADIUS suchen, und diese App installieren. Danach erscheint unter User/Benutzer in allen Einstellungen der Benutzer und Gruppen Objekte die Option, Radius zu aktivieren:

Dieses aktiviert man dann für die Benutzer/Gruppen, die den entsprechenden Zugriff erhalten sollen.

Danach muss im Menüpunkt Devices/Geräte -> Computer/Rechner die Access-Points eintragen. Unter Hinzufügen/Add wählt man den Typ (z.B. Linux) aus, und gibt danach den Namen und die IP Adresse ein. Dann muss in den Einstellungen unter RADIUS der Netzwerkzugriff erlaubt werden. Hier gibt man auch einen Schlüssel (Shared Secret) an, diesen benötigt später der Unifi Access-Point auch. NAS Type auf other lassen, dies ist hier der Standartwert:

Konfiguration des Unifi Accesss-Points

In den Einstellungen unter Profile muss ein neues Radius Profil angelegt werden. Hier muss die IP des UCS Hosts und das eben festgelegte Shard Secret eingegeben werden:

Danach kann man unter Drahtlos-Netzwerke ein neues Netzwerk anlegen. Bei Sicherheit muss WPA Enterprise ausgewählt werden. Dann noch das eben angelegt Radius Profil auswählen und das Netz kann gespeichert und auf die Access-Points ausgerollt werden:

Anmelden unter Android

Unter Android muss bei den Einstellungen neu angelegten Wlan Netzes die Phase 2 Authentifizierung auf MS-CHAP v2 gestellt werden und CA Zertifikate auf Nicht validieren. Nun den Benutzernamen bei Identität und das Passwort eingeben und schon verbindet sich das Android Smartphone mit dem Access Point.

Autor: peterge