Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Unifi + FreeRadius + Google LDAP (G Suite), UniFi Network
 
#1
20.12.2018 05:31:00
Хотим узнать, можно ли это реализовать? У нас уже настроен Unifi (работает отлично), и мы хотели бы, чтобы наши пользователи использовали свои логины Google G Suite для аутентификации в Wi-Fi, то есть WPA2 Enterprise (вариант с порталом Google+ нас не интересует). Я пытался следовать инструкциям от Google по настройке FreeRadius для их LDAP-сервиса, но не смог заставить это работать. (https://support.google.com/cloudidentity/answer/9089736?hl=en&ref_topic=9173976#) Также настроил LDAP-сервис в админке G Suite. Кто-нибудь делал это раньше? Это вообще возможно? Буду благодарен за полезные руководства. Спасибо!
 
 
 
#2
07.12.2023 12:14:00
Привет, кто может помочь мне с такой реализацией, пожалуйста :) Я хочу сделать это для школы, в которой работаю.
 
 
 
#3
12.07.2023 12:15:00
@plonetti — У меня тут точно такая же ситуация, и я в тупике. Ты как-то продвинулся с этим?
 
 
 
#4
01.04.2023 07:14:00
Привет,  
я безуспешно пытаюсь настроить аутентификацию через Google LDAP из Google Workspace. Даже при тесте через radtest всё работает, а вот если пытаюсь использовать протокол на основе EAP — не получается.  
suffix: Authentication realm is LOCAL  
(3) [suffix] = ok
(3) eap: Peer sent EAP Response (code 2) ID 64 length 38  
(3) eap: EAP-Identity reply, возвращаю 'ok', чтобы прервать дальнейшую авторизацию  
(3) [eap] = ok
(3) } # authorize = ok  
(3) Found Auth-Type = eap  
(3) # Выполняется группа из файла /etc/freeradius/sites-enabled/default  
(3) authenticate {  
(3) eap: Peer sent packet with method EAP Identity (1)  
(3) eap: Вызывается подпроцесс eap_ttls для обработки данных  
(3) eap_ttls: (TLS) Инициализация новой сессии  
(3) eap: Отправляется EAP Request (code 1) ID 65 length 6  
(3) eap: В сессию EAP добавляется &reply:State = 0xc8be7c1cc8ff6900  
(3) [eap] = handled
(3) } # authenticate = handled  
(3) Используется Post-Auth-Type Challenge  
(3) # Выполняется группа из файла /etc/freeradius/sites-enabled/default  
(3) Challenge { ... } # пустой подпункт игнорируется  
(3) session-state: сохраняю кешированные атрибуты  
(3) Framed-MTU = 994  
(3) Отправлен Access-Challenge с Id 157 с 192.168.1.249:1812 на 192.168.18.252:59979, длина 64  
(3) EAP message = 0x014100061520  
(3) Message-Authenticator = 0x00000000000000000000000000000000  
(3) State = 0xc8be7c1cc8ff69003af9742c  
.................................Удалось ли тебе это решить?
 
 
 
#5
26.10.2022 13:55:00
Я просматривал форумы, и это одно из тех сообщений, которое действительно помогло. Однако я воспользовался и другими исследованиями и уже внедрил сервис LDAP от G-suite в свою инфраструктуру. Вот сайт, который тоже очень помог мне: https://www.nasirhafeez.com/freeradius-with-google-g-suite-workspace-secure-ldap-for-wpa2-enterprise-wifi/
 
 
 
#6
11.05.2019 05:59:00
@lperoma

– Я только что закончил писать руководство и приложил свои конфигурационные файлы. Посмотрите здесь: https://community.ui.com/questions/36af593f-73b1-4943-8e22-9a81b10db9ae
 
 
 
#7
10.05.2019 07:49:00
Спасибо, @jongoldsz, это было бы здорово. Я несколько раз пытался следовать руководству от Google, но так и не смог заставить всё работать. Всего хорошего, LP
 
 
 
#8
10.05.2019 01:15:00
@lperoma

Я в итоге проделал процесс дважды: сначала в Ubuntu, а потом снова в виде docker-образа. Как только будет время, выложу свой Dockerfile, docker-compose.yml и конфигурационные файлы с пошаговыми инструкциями о том, какие изменения нужны, чтобы наладить связь с Google Secure LDAP Tenant. Я совсем новичок в docker, так что, возможно, есть более эффективный или лучший способ настроить всё, чем тот, что сделал я. Тем не менее, вы вполне можете использовать эти же файлы конфигурации с Ubuntu, а скорее всего и с Debian, просто немного изменив пути в соответствии с директорией, где стоит freeradius.
 
 
 
#9
09.05.2019 15:53:00
Привет, @jongoldsz и все остальные!

Уже несколько дней пытаюсь заставить работать IG с Debian9 / freeradius, но без удачи. В логах ldap G-Suite admin вижу, что до него доходит:  
LDAP bind с {user} успешен. Bind успешен Mater-WPA2 May 9 5:28 PM  
LDAP bind с "" успешен. Bind успешен Mater-WPA2 May 9 5:28 PM  
LDAP поиск с (uid=wpa2test) успешен Mater-WPA2 May 9 5:28 PM  

Однако, обратно к freeradius аутентификация так и не приходит.  

radtest wpa2test wpa2test 172.31.42.99 0 testing123  
Отправлен Access-Request Id 72 с 0.0.0.0:54142 на 172.31.42.99:1812, длина 78  
User-Name = "wpa2test"  
User-Password = "wpa2test"  
NAS-IP-Address = 127.0.1.1  
NAS-Port = 0  
Message-Authenticator = 0x00  
Cleartext-Password = "wpa2test"  

Получен Access-Reject Id 72 с 172.31.42.99:1812 на 0.0.0.0:0, длина 20  
(0) -: Ожидался Access-Accept, получил Access-Reject  

Какая конфигурация у тебя была сделана не так? Я никак не могу разобраться по твоей ссылке.  

Заранее большое спасибо,  
LP
 
 
 
#10
09.05.2019 01:09:00
@ndra16

Можешь пояснить, как именно ты это настроил? Пока что мне удалось заставить Freeradius общаться с LDAPS от Google с помощью radtest. Думаю, это работает, потому что пароль, который подается в ldap-модуль, передается в открытом виде. Но с Unifi AP у меня не получилось.

Похоже, я понимаю, почему моя конфигурация не работает. Насколько я понял, AP отправляет запрос по протоколу на базе EAP на freeradius-сервер. Имя пользователя передается в открытом виде и попадает в LDAP-модуль, который либо находит, либо не находит соответствующего пользователя. Если пользователь есть, система пытается проверить пароль. Но так как пароль передается не в открытом виде, а ldap-модуль требует пароль в открытом виде для сравнения, запрос всегда отклоняется.

В комментариях к default site есть следующее:
# Раскомментируйте, если хотите использовать ldap для аутентификации
#
# Обратите внимание, что это значит "сравнивать пароль в открытом виде с базой ldap",
# а значит EAP не работает, потому что он не передает пароль в открытом виде.

Поэтому мне действительно интересно, как тебе удалось заставить твою конфигурацию работать с UniFi AP. Поддерживает ли безопасный LDAP от Google пароли в зашифрованном виде? И используешь ли ты какую-то модифицированную версию ldap-модуля, которая умеет работать с таким паролем?

Редактировал: разобрался. Нужно было сперва написать этот пост, потом поискать и я нашел вот эту страницу с нужной конфигурацией: http://lists.freeradius.org/pipermail/freeradius-users/2014-September/073992.html
 
 
 
Страницы: 1
Читают тему (гостей: 1)