UCS 4.4: RADIUS konfigurieren

RADIUS (Remote Authentication Dial-In User Service) ist ein zentraler Bestandteil von UCS und ermöglicht es, Zugangskontrollen zu WLAN-Netzwerken für Benutzer, Gruppen und Endgeräte einzurichten. In unserem How-To haben wir die Grundlagen vorgestellt, und in diesem Blogartikel zeige ich, wie das Konfigurieren von RADIUS in einer UCS-Domäne funktioniert. Dabei gehe ich auch auf die Neuerungen in UCS 4.4 ein.

Was ist RADIUS?

RADIUS übernimmt in kleinen Umgebungen oder Schulen die Authentifizierung der Benutzer, deren Autorisierung nach dem Anmelden (Zugriff auf bestimmte Daten oder Dienste) und kümmert sich auch um die Protokollierung. Der Vorteil an dieser Lösung: Die einmalig hinterlegten Zugangsdaten der Benutzer (die Domänen-Passwörter) sind überall und jederzeit verfügbar, werden aber an einer zentralen Stelle registriert und verwaltet (im Verzeichnisdienst). RADIUS erhöht die Sicherheit und ermöglicht es, Bring Your Own Device (BYOD) für Firmen oder Bildungseinrichtungen umzusetzen.
RADIUS installieren Sie ganz bequem aus dem Univention App Center. Um WLAN-Clients wie Laptops, Smartphones oder Tablets in das Netzwerk zu bringen, muss der entsprechende Access Point (AP) den Standard IEEE 802.1x, also WPA Enterprise, unterstützen. In der AP-Konfiguration hinterlegen Sie für die Authentifizierung die Daten des RADIUS-Servers. Anschließend können sich Benutzer mit ihren persönlichen Zugangsdaten im WLAN anmelden.

Neuerungen von RADIUS bei UCS 4.4

Schon unter UCS 4.3 (und in früheren Versionen) gab es für RADIUS ein fertiges Paket (univention-radius), das Sie auch aus dem App Center heraus installieren konnten. Anschließend waren jedoch einige Anpassungen an der Konfiguration erforderlich – Admins mussten dazu auf die Kommandozeile des UCS-Rechners. Die neue Version 4.4 erleichtert nun die Einrichtung: Wir haben den RADIUS-Server mit einer Standardkonfiguration ausgestattet, die Sie komfortabel über die grafische Univention Management Console (UMC) anpassen können.
Für UCS@school 4.3 (und ältere Ausgaben) stand ein weiteres Paket zur Verfügung (ucs-school-radius-802.1x), das die notwendigen Einstellungen für Schulen in einem vorkonfigurierten Setup mitbrachte. Die über die beiden Pakete bereitgestellten Funktionen haben wir in Version 4.4 zusammengefasst, und das separate UCS@school-Paket enthält keine Konfiguration mehr, sondern lediglich die Proxy-Filter für Schulräume. Technisch bedeutet das, dass die über das Paket ucs-school-radius-802.1x bereitgestellte Konfiguration herausgelöst wurde und nun in univention-radius integriert ist. Die Installation von ucs-school-radius-802.1x spielt automatisch auch das Paket univention-radius ein, um die Abhängigkeiten aufzulösen.
Weitere Hinweise zu den Neuerungen von RADIUS finden Sie in den Release Notes von UCS 4.4 und in den Veröffentlichungshinweisen zu UCS@school 4.4 v1.

Migration von UCS 4.3 auf UCS 4.4

Wenn Sie UCS 4.3 auf Version 4.4 aktualisieren, werden bestehende RADIUS-Einstellungen nicht automatisch migriert. Im Klartext heißt das, dass eine eventuell vorhandene Datei clients.conf (um Access Points von Hand zu konfigurieren) nicht überschrieben oder gelöscht wird, sondern weiterhin aktiv bleibt. Ab Version 4.4 kann die RADIUS-Einrichtung auch über die Univention Management Console erfolgen. Alle hier gemachten Änderungen landen in der Datei clients.univention.conf, die UCS automatisch erzeugt.
Beachten Sie, dass Sie die Access Points am besten über eine der beiden Methoden (händisch oder über UMC) verwalten und nicht über beide gleichzeitig. So vermeiden Sie Konflikte.

RADIUS über die UMC konfigurieren

Nachdem Sie RADIUS über das App Center installiert haben, startet der FreeRADIUS-Server. Die Einrichtung erfolgt dann über die Management Console. In der Voreinstellung hat kein über den LDAP-Verzeichnisdienst verwalteter Account einen Zugang zum WLAN. Aktivieren Sie daher für die Benutzer-Objekte in der Abteilung „RADIUS“ (Menü auf der linken Seite) die Checkbox „Netzwerkzugriff erlauben“. Das funktioniert auch für Gruppen, sodass alle Mitglieder automatisch Zugang zum Netzwerk haben.

Um die Access Points über die UMC zu verwalten, muss für jeden AP ein Rechner-Objekt existieren. In den“Optionen für grundlegende LDAP-Objekt-Eigenschaften“ aktivieren Sie die Checkbox „RADIUS-Authenticator“. Wechseln Sie dann in die Abteilung „RADIUS“ auf der linken Seite und legen Sie die Eigenschaften des Access Points fest: Stellen Sie mindestens die IP-Adresse und einen gemeinsamen, geheimen Schlüssel ein (sogenanntes „Shared secret“). Diese Zugangsdaten ermöglichen den AP und anderen Geräten den Zugriff auf RADIUS.

Access Points, die Sie über die Univention Management Console konfiguriert haben, sind anschließend allen RADIUS-Servern in der Domäne bekannt. Dabei werden die Access Points über den Univention Directory Listener in die Datei /etc/freeradius/3.0/clients.univention.conf geschrieben, und der RADIUS-Server wird neu gestartet. Um Änderungen zusammenzufassen, geschieht das verzögert (etwa nach 15 Sekunden). Neue Access Points haben erst nach diesem Neustart Zugriff auf den RADIUS-Server.

Probleme mit dem RADIUS-Server

UCS 4.4 kommt mit einer verbesserten Fehlersuche. Mit dem Kommandozeilentool univention-radius-check-access können Sie aktuelle Zugangsregeln für einen bestimmten Benutzer und/oder eine MAC-Adresse überprüfen. Sie rufen den Befehl als Benutzer root auf dem UCS-Server (in einem Terminalfenster oder auf der Konsole) auf.
Die RADIUS-App protokolliert die Ereignisse und schreibt sie in die Logdatei /var/log/univention/radius_ntlm_auth.log. Wie ausführlich die Meldungen sind, legen Sie über die Univention-Configuration-Registry-Variable freeradius/auth/helper/ntlm/debug fest. Der FreeRADIUS-Server legt ebenfalls seine eigene Logdatei unter /var/log/freeradius/radius.log an.
Weitere Hinweise zu den Funktionen von RADIUS finden Sie im UCS-Handbuch.