Radius für die FBF?

[Miyamoto]

Hi zusammen!
Ich bin die Tage mal bei Heise über 'n Artikel gestolpert, der vom Absichern des (W)LANs mittels Radius sprach. Nun hab' ich mal gesucht, aber nix diesbezügliches für die FBF gefunden (oder einfach die falschen Begriffe gehabt...)

Ist das überhaupt sinnvoll?
Gibt's da was konkretes?

Danke!

 

[sf3978]

Nein, ein Radius-Server mit Datenbank gibt es noch nicht für die FritzBox. Sinnvoll wäre das schon. Die Frage ist die, wie performant müsste die Box sein, für einen Radius-Server+Datenbank? Es gibt einfache Authentifizierungssysteme für die FritzBox (mit Freetz), z. B. cyrus-sasl und fbcauth.

EDIT:
Eine weitere Möglichkeit für die Authentifizierung, wäre das prosody-modul für OpenID (Enables Prosody to act as an OpenID provider). Prosody gibt es schon für die FritzBox.

 

[Miyamoto]

Hmm, da stellt sich mir die Frage, ob das als Zugangs-Authentifizierung für (W)LAN-Zugang geeignet wäre - das würde ja eine entsprechende IP-Vergabe voraussetzen, und dann wäre er ja erstmal drin.

Hm - oder irgendwie so? Proxy vergibt IP per DHCP, alle Zugriffe werden auf Auth-Seite umgeleitet, bis Auth erfolgt ist.
Geht das mit den Paketen?

Ich zögere ja noch ein wenig, weil's derartig viele Pakete und Abhängigkeiten zu sein scheinen...
Welche der Pakete müßte ich denn wie einchecken in meinen Trunk, damit ich das mal checken kann?

Oder - gäb's noch andere Ideen? Any idea aynone else?

 

[sf3978]

Hmm, da stellt sich mir die Frage, ob das als Zugangs-Authentifizierung für (W)LAN-Zugang geeignet wäre - das würde ja eine entsprechende IP-Vergabe voraussetzen, und dann wäre er ja erstmal drin.
...

D. h. Du willst eine Authentifizierung auf einer Hardware (Server) außerhalb der FritzBox (weil Du ja nicht verbunden/drin sein willst) und wenn OK, dann wird die FritzBox von der externen Hardware benachrichtigt und dein Client bekommt eine IP-Adresse von der (für die) FritzBox?

 

[Miyamoto]

Nein - am besten das alles auf der FBF. Sprich: WLAN-Verbindung nur, wenn ein entsprechendes Zertifikat vorgezeigt werden konnte und damit eine eindeutige Identifizierung des Clients erfolgt ist.

Hier ist der Heise-Artikel

 

[sf3978]

Nein - am besten das alles auf der FBF. Sprich: WLAN-Verbindung nur, wenn ein entsprechendes Zertifikat vorgezeigt werden konnte ...[/URL]

Also doch "drin sein" schon vor der Authentifizierung. Mit FBCauth funktioniert das auch so, aber ohne Zertifikat, sondern mit Passwort. Die default policy der FORAWRD chain ist auf drop. Mit dem richtigen Passwort, wird die IP-Adresse des Clienten freigeschaltet, für den Internetzugang.

 

[sf3978]

cyrus-sasl

Eine weitere Authentifizierung kann mit cyrus-sasl, auf der FritzBox gemacht werden. Siehe Paket (Patch) im Anhang (makemd5 wird im Buildsystem benötigt - siehe den Patch aus dem Paket). Zur Authentifizierung wird der username und das Passwort aus der Datei "/etc/shadow" benutzt:

2387 root      1248 S    saslauthd -a shadow -m /var/run/saslauthd -n 2
2388 root      1248 S    saslauthd -a shadow -m /var/run/saslauthd -n 2

root@fritz:/var/mod/root# testsaslauthd -u <name> -p <passwort> -f /var/run/saslauthd/mux
[COLOR="Red"]0: OK "Success."[/COLOR]