Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 38 subscribers
  • Views 1960 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FreeRadius und Astaro Login

Kilrathy
Hallo zusammen

ich betriebe hier zuhause eine Astaro mit Home Lizenz und einen eigenen Mailserver, wo alle E-mails meiner Familienmitglieder drauf laufen.

Bis heute betreibe ich eigentlich den Spamschuz nur mit dem Quarantine Report, doch immer mehr wollen die Leute mehr Zugriff auf Black/Whiteliste.

Um nicht immer von hand jede E-mailadresse nachzutragen möchte ich einen Radius Server hinstellen, welcher die Authentifizierung vornimmt.

Hat hier jemand schon einmal die User Authentifizierung mit einem Radius vorgenommen? Gibt es evtl. eine Art Schema, was die Astaro zum Radius sendet?

Bin im Moment (noch) bissel planlos... [:S]

Gruss
Kilrathy


This thread was automatically locked due to age.
Parents
  • 0
    Läst du sie nicht aufs Portal zugreifen ?

    Astaro selber hat doch ne User Authentifizierung. 
    Ich lasse so über 700 User zugreifen.
  • 0 in reply to resi
    Doch schon... trägst du demnach die E-Mailadressen pro User selber ein?

    Meine Idee war halt auch, dass sich die Leute gleich mit ihren E-Mailadressen am Portal anmelden könnten, ohne einen neuen User zu merken.

    Wie ich nämlich gesehen habe, müsste man für einen Radius eine zweite unabhängige DB erstellen - FreeRadius kann man nicht mit einer "custom" Db betreiben.

    Gruss
  • 0 in reply to Kilrathy
    Zur Authentifizierung schickt die ASG folgende Informationen an den Radius Server:

    •  Username
    •  Password
    •  Nas-ID (der Dienst, fuer den Authentifiziert werden soll, etwa 'portal')


    Der Radius Server wird allerdings nur nach der Authentifizierung eines Users befragt. Es werden keine anderen Daten ausgetauscht. Die ASG kann also anhand der Authentifizierung nicht wissen, welche email addressen ein Benutzer hat. Es ist moeglich automaitsch Benutzer anlegen zu lassen, die sich gegen Radius authentifiziert haben, aber diese bekommen keine email Addresse automatisch eingetragen. Dies ginge bei Active Directory, eDirectory oder LDAP Authentifizierung.

    Du kannst aber problemlos die email addresse als Benutzernamen verwenden (falls dir das hilft). Wichtig ist hierbei nur, dass sich Benutzer mit Ihren Credentials (s.o.) gegen den Radius Server authentifizieren koennen.
Reply
  • 0 in reply to Kilrathy
    Zur Authentifizierung schickt die ASG folgende Informationen an den Radius Server:

    •  Username
    •  Password
    •  Nas-ID (der Dienst, fuer den Authentifiziert werden soll, etwa 'portal')


    Der Radius Server wird allerdings nur nach der Authentifizierung eines Users befragt. Es werden keine anderen Daten ausgetauscht. Die ASG kann also anhand der Authentifizierung nicht wissen, welche email addressen ein Benutzer hat. Es ist moeglich automaitsch Benutzer anlegen zu lassen, die sich gegen Radius authentifiziert haben, aber diese bekommen keine email Addresse automatisch eingetragen. Dies ginge bei Active Directory, eDirectory oder LDAP Authentifizierung.

    Du kannst aber problemlos die email addresse als Benutzernamen verwenden (falls dir das hilft). Wichtig ist hierbei nur, dass sich Benutzer mit Ihren Credentials (s.o.) gegen den Radius Server authentifizieren koennen.
Children
  • 0 in reply to rleibl
    rleibl, danke für die Auskunft.
    Heisst also, verwende ich "nur" den Radius Login, so wird mir das nichts bringen, da die Astaro noch nicht weiss, welche E-Mailadresse dazugehört?

    Für einen solchen Login müsste ich das ganze mit LDAP am laufen haben?
  • 0 in reply to Kilrathy
    Genau.

    Bei Radius Authentifizierung ist das Ergebnis im Wesentlichen nur "Ja" oder "Nein" (ACCESS_ACCEPT/ACCESS_REJECT). Weitere Information wird nicht ausgetauscht.

    Bei LDAP (und den Varianten Active Directory, eDirectory), hat man bei der Authentifizierung Zugriff auf das gesamte Benutzerobjekt im Directory. Man kann dort also beliebige (vorhandene) Information herausholen.

    Beide Verfahren haben natuerlich Vor- und Nachteile, aber das ist eine andere Diskussion...

    Heisst also, verwende ich "nur" den Radius Login, so wird mir das nichts bringen, da die Astaro noch nicht weiss, welche E-Mailadresse dazugehört?

    Wie gesagt, du kannst die emailaddresse als usernamen benutzen. Das wuerde heissen, dass der Benutzer, etwa im Portal, seine emailaddresse und sein Passwort eingibt. Die ASG schickt das dann an den Radius Server. Wie der Server das prueft ist seine Sache. Wenn der also auf emailaddressen prueft, und dann ACCESS_ACCEPT zurueckliefert, dann koennen sich die Benutzer auch damit einloggen.
    Allerdings wird in das 'email' Feld des Benutzerobjektes auf der ASG keine emailaddresse eingetragen. Stattdessen wird die emailaddresse als Benutzername eingetragen.
    (Ich hoffe, du verstehst, was ich meine)
  • 0 in reply to rleibl
    Mhm ich denke hab's verstanden - diese überlegung habe ich auch gemacht.

    Schaffe ich es, dass ich die ASG auf den Radius verifiziert und die User einfach ihre E-Mailadresse und das entsprechende PW verwenden, sollte das Mailmanager für die jeweilige E-Mailadresse klappen...

    Aber die Radius Sache ist etwas anderes, freeradius kann zuviel um verständlich zu sein. [:D]

    gruss
Unfiltered HTML