F
frankh
Registriert
Thread Starter
- Dabei seit
- 05.08.2009
- Beiträge
- 1
- Reaktionspunkte
- 0
Hallo, ich bastle jetzt schon seit geraumer Zeit an einer Radius basierten Authentifizierung für WiFi Netzwerke. Leider fehlt mir hier noch der endgültige Kick damit alles nach meinen Vorstellungen funktionieren könnte:
1. Ich will mehrere unterschiedliche SSID's verwenden die auf jeweilige Subnetze (VLAN's) gemappt sind
2. Benutzer sollen je SSID in Abhängigkeit von einer Gruppenzugehörigkeit zugelassen werden (abteilungsbasierte SSID's)
3. Als Hardware steht eine SonicWall, SonicPointN's (alternativ könnte ich auch entsprechend viele Airport's betreiben) und ein Layer 3 Cisco Coreswitch zur Verfügung
4. Zur Authentifizierung kann ich entweder ein OpenLDAP von Zimbra (Email-System) mit SSHA Passwörtern oder ein SL Server mit OpenDirectory und Apple Password Server verwenden
5. Clients sind sehr hybrid - insbesondere iPhone/iPad stellen aufgrund der lediglich MSCHAP basierten Radius Implementierung die grösste Hürde dar
Mein Hauptroblem ist, dass die Anforderung der MSCHAP basierten Authentifizierung entweder das Verwenden des opendirectory Moduls in SL Server voraussetzt oder aber ein Plaintext userPassword wenn man über LDAP geht.
- Verwendet man das opendirectory Modul, kann man nicht zusätzlich für den anmeldenden Benutzer ein Gruppenzugehörigkeit anhand des Radius Attributs "Calling-Station-Id" abprüfen. SL Server ermöglicht lediglich global Radius für Benutzergruppen zu erlauben. Dafür kann das Modul mit dem NT-Hash einer MSCHAP Anfrage umgehen.
- Schalte ich den RADIUS auf das LDAP Modul um kann ich zwar einen LDAP Filter nutzen (bsw: (memberOfGroup=GRP_IT) & (uid=username)), hier schlägt jedoch die MSCHAP Authentifzierung von iPad & Co. fehl da der LDAP entweder den fertigen NT-Hash oder ein Plaintext Passwort liefern muss
Lösungsansätze:
1. Speichern der Passwörter in Zimbra als Plaintext -> geht nicht
2. Speichern der Passwörter im SL LDAP als Plaintext -> ? (sicherheitskritisch)
3. Radius Modul "opendirectory" modifzieren/konfigurierbar machen -> ?
Folglich habe ich zwei Implementierungen die beide technisch bis auf die beschriebenen Hürden vollständig funktionieren und getestet sind - bei denen ich aber nicht mehr weiter komme.
Hat da jemand mal etwas ähnliches realisiert oder einen alternativen Lösungsanstz? Langsam gehen mir die Ideen aus und ich frage mich ob der Anspruch einfach zu hoch für Budgets < 100.000 EUR ist...
1. Ich will mehrere unterschiedliche SSID's verwenden die auf jeweilige Subnetze (VLAN's) gemappt sind
2. Benutzer sollen je SSID in Abhängigkeit von einer Gruppenzugehörigkeit zugelassen werden (abteilungsbasierte SSID's)
3. Als Hardware steht eine SonicWall, SonicPointN's (alternativ könnte ich auch entsprechend viele Airport's betreiben) und ein Layer 3 Cisco Coreswitch zur Verfügung
4. Zur Authentifizierung kann ich entweder ein OpenLDAP von Zimbra (Email-System) mit SSHA Passwörtern oder ein SL Server mit OpenDirectory und Apple Password Server verwenden
5. Clients sind sehr hybrid - insbesondere iPhone/iPad stellen aufgrund der lediglich MSCHAP basierten Radius Implementierung die grösste Hürde dar
Mein Hauptroblem ist, dass die Anforderung der MSCHAP basierten Authentifizierung entweder das Verwenden des opendirectory Moduls in SL Server voraussetzt oder aber ein Plaintext userPassword wenn man über LDAP geht.
- Verwendet man das opendirectory Modul, kann man nicht zusätzlich für den anmeldenden Benutzer ein Gruppenzugehörigkeit anhand des Radius Attributs "Calling-Station-Id" abprüfen. SL Server ermöglicht lediglich global Radius für Benutzergruppen zu erlauben. Dafür kann das Modul mit dem NT-Hash einer MSCHAP Anfrage umgehen.
- Schalte ich den RADIUS auf das LDAP Modul um kann ich zwar einen LDAP Filter nutzen (bsw: (memberOfGroup=GRP_IT) & (uid=username)), hier schlägt jedoch die MSCHAP Authentifzierung von iPad & Co. fehl da der LDAP entweder den fertigen NT-Hash oder ein Plaintext Passwort liefern muss
Lösungsansätze:
1. Speichern der Passwörter in Zimbra als Plaintext -> geht nicht
2. Speichern der Passwörter im SL LDAP als Plaintext -> ? (sicherheitskritisch)
3. Radius Modul "opendirectory" modifzieren/konfigurierbar machen -> ?
Folglich habe ich zwei Implementierungen die beide technisch bis auf die beschriebenen Hürden vollständig funktionieren und getestet sind - bei denen ich aber nicht mehr weiter komme.
Hat da jemand mal etwas ähnliches realisiert oder einen alternativen Lösungsanstz? Langsam gehen mir die Ideen aus und ich frage mich ob der Anspruch einfach zu hoch für Budgets < 100.000 EUR ist...