Neuerungen von RADIUS bei UCS 4.4
Schon unter UCS 4.3 (und in früheren Versionen) gab es für RADIUS ein fertiges Paket (univention-radius), das Sie auch aus dem App Center heraus installieren konnten. Anschließend waren jedoch einige Anpassungen an der Konfiguration erforderlich – Admins mussten dazu auf die Kommandozeile des UCS-Rechners. Die neue Version 4.4 erleichtert nun die Einrichtung: Wir haben den RADIUS-Server mit einer Standardkonfiguration ausgestattet, die Sie komfortabel über die grafische Univention Management Console (UMC) anpassen können.
Für UCS@school 4.3 (und ältere Ausgaben) stand ein weiteres Paket zur Verfügung (ucs-school-radius-802.1x), das die notwendigen Einstellungen für Schulen in einem vorkonfigurierten Setup mitbrachte. Die über die beiden Pakete bereitgestellten Funktionen haben wir in Version 4.4 zusammengefasst, und das separate UCS@school-Paket enthält keine Konfiguration mehr, sondern lediglich die Proxy-Filter für Schulräume. Technisch bedeutet das, dass die über das Paket ucs-school-radius-802.1x bereitgestellte Konfiguration herausgelöst wurde und nun in univention-radius integriert ist. Die Installation von ucs-school-radius-802.1x spielt automatisch auch das Paket univention-radius ein, um die Abhängigkeiten aufzulösen.
Weitere Hinweise zu den Neuerungen von RADIUS finden Sie in den Release Notes von UCS 4.4 und in den Veröffentlichungshinweisen zu UCS@school 4.4 v1.
Migration von UCS 4.3 auf UCS 4.4
Wenn Sie UCS 4.3 auf Version 4.4 aktualisieren, werden bestehende RADIUS-Einstellungen nicht automatisch migriert. Im Klartext heißt das, dass eine eventuell vorhandene Datei clients.conf (um Access Points von Hand zu konfigurieren) nicht überschrieben oder gelöscht wird, sondern weiterhin aktiv bleibt. Ab Version 4.4 kann die RADIUS-Einrichtung auch über die Univention Management Console erfolgen. Alle hier gemachten Änderungen landen in der Datei clients.univention.conf, die UCS automatisch erzeugt.
Beachten Sie, dass Sie die Access Points am besten über eine der beiden Methoden (händisch oder über UMC) verwalten und nicht über beide gleichzeitig. So vermeiden Sie Konflikte.
RADIUS über die UMC konfigurieren
Nachdem Sie RADIUS über das App Center installiert haben, startet der FreeRADIUS-Server. Die Einrichtung erfolgt dann über die Management Console. In der Voreinstellung hat kein über den LDAP-Verzeichnisdienst verwalteter Account einen Zugang zum WLAN. Aktivieren Sie daher für die Benutzer-Objekte in der Abteilung „RADIUS“ (Menü auf der linken Seite) die Checkbox „Netzwerkzugriff erlauben“. Das funktioniert auch für Gruppen, sodass alle Mitglieder automatisch Zugang zum Netzwerk haben.

Um die Access Points über die UMC zu verwalten, muss für jeden AP ein Rechner-Objekt existieren. In den“Optionen für grundlegende LDAP-Objekt-Eigenschaften“ aktivieren Sie die Checkbox „RADIUS-Authenticator“. Wechseln Sie dann in die Abteilung „RADIUS“ auf der linken Seite und legen Sie die Eigenschaften des Access Points fest: Stellen Sie mindestens die IP-Adresse und einen gemeinsamen, geheimen Schlüssel ein (sogenanntes „Shared secret“). Diese Zugangsdaten ermöglichen den AP und anderen Geräten den Zugriff auf RADIUS.

Access Points, die Sie über die Univention Management Console konfiguriert haben, sind anschließend allen RADIUS-Servern in der Domäne bekannt. Dabei werden die Access Points über den Univention Directory Listener in die Datei /etc/freeradius/3.0/clients.univention.conf geschrieben, und der RADIUS-Server wird neu gestartet. Um Änderungen zusammenzufassen, geschieht das verzögert (etwa nach 15 Sekunden). Neue Access Points haben erst nach diesem Neustart Zugriff auf den RADIUS-Server.
Probleme mit dem RADIUS-Server
UCS 4.4 kommt mit einer verbesserten Fehlersuche. Mit dem Kommandozeilentool univention-radius-check-access können Sie aktuelle Zugangsregeln für einen bestimmten Benutzer und/oder eine MAC-Adresse überprüfen. Sie rufen den Befehl als Benutzer root auf dem UCS-Server (in einem Terminalfenster oder auf der Konsole) auf.
Die RADIUS-App protokolliert die Ereignisse und schreibt sie in die Logdatei /var/log/univention/radius_ntlm_auth.log. Wie ausführlich die Meldungen sind, legen Sie über die Univention-Configuration-Registry-Variable freeradius/auth/helper/ntlm/debug fest. Der FreeRADIUS-Server legt ebenfalls seine eigene Logdatei unter /var/log/freeradius/radius.log an.
Weitere Hinweise zu den Funktionen von RADIUS finden Sie im UCS-Handbuch.