Radius Radius-Server: Rückgabe von Class-Attribut in abhängigkeit von der AD-Gruppe

[rms3013]

Hallo Zusammen

Ich habe auf meiner Synology (DS716+II, DSM 7.0.1-42218 Update 2) den Radius-Server installiert. Damit will ich auf meinen Router (Cisco RV160) den VPN-Zugang authentifizieren. Dazu muss der Radius-Server aber das Attribut "Class" mit der Namen entsprechenden Benutzergruppe, die auf dem Router definiert ist, zurückgeben. Auf der Synsology läuft gleichzeitig der Domain-Controller und daher habe ich die AD-Gruppen für den VPN-Zugang eingerichtet. Nun will ich, dass der Radius-Server das Klassen-Attribute zurückgibt, wenn der Benutzer, der sich anmeldet in der entsprechenden AD-Gruppe ist.

Ich bin vorgegangen wie hier beschrieben: https://community.synology.com/enu/forum/17/post/103390?reply=346528

Meine Datei rad_site_def_ad in /usr/local/synoradius sieht so aus. Alles ist Standart bis auf die Einfügung "$INCLUDE cisco.conf" im Abschnitt "post_auth"

authorize {
preprocess
chap
mschap
digest
suffix
synorad
eap {
ok = return
}
files
expiration
logintime
pap
if (!control:Auth-Type) {
update control {
Auth-Type = "ntlm_auth"
}
}
}

authenticate {
Auth-Type PAP {
pap
}
Auth-Type CHAP {
chap
}
Auth-Type MS-CHAP {
mschap_ad
}
ntlm_auth
digest
eap
}

preacct {
preprocess
acct_unique
suffix
files
}

accounting {
detail
unix
radutmp
exec
attr_filter.accounting_response
}

session {
radutmp
}

post-auth {
exec
$INCLUDE cisco.conf
Post-Auth-Type REJECT {
attr_filter.access_reject
}
}

pre-proxy {
}

post-proxy {
eap
}

In der Datei cisco.conf habe ich folgendes:

update reply {Class := "test2"}

#if (NAS-Identifier == "RouterTest") {
# If User-Name doesn't contain our domain then add it.
# It's needed for the Group check to use the correct
# username.
if (User-Name !~ /EMINET\\\\/i) {
update request {User-Name := "EMINET\\\\\\\\%{User-Name}"}
}

update reply {Reply-Message = "%{User-Name} NAS-Group %{Group}"}

if ( Group == "EMINET\\\\vpn" ) {
update reply { Class := "vpn" }
}

if (Group == "EMINET\\\\router") {
update reply { Class := "router" }
}
#}

Da ist natürlich einiges zum Testen drin, z.B die Anweisung update reply {Class := "test2"} und update reply {Reply-Message = "%{User-Name} NAS-Group %{Group}"}. Wenn ich die Antwort des Radius Servers mit NTRadPing anschaue erhalten ich keine richtige Zuweisung des Class-Attributs.


Bei diesen Benutzer bin ich mir sicher, dass er in der AD-Gruppe "VPN" ist. Lass ich in der "Cisco.conf" die Anweisung "if ( Group == "EMINET\\\\vpn" ) {" weg kommt die Rückmeldung "Class=VPN". So habe ich das Gefühl, dass etwas mit der Überprüfung der Zugehörigkeit in AD-Gruppen irgendwas nicht funktioniert.

Nur meine Fragen an Euch:
Habt Ihr schon so etwas bei Euch zum Laufen gebracht?
Wenn ja: was habt Ihr gemacht? Gibt es noch eine Einstellung, die ich vergessen habe?
Wenn nein: Geht das aus Prinzip nicht (mehr)?

Vielen Dank für Eure Hilfe

 

[rms3013]

Hallo Zusammen

Ich kann mir nicht vorstellen, dass ich der Einzige bin der die Zugehörigkeit von Benutzer in einer AD-Gruppe bei der Authorisierung über den Radius-Server abfragen muss. Gibt es bei Euch keinen oder keine die mir hier helfen kann?

Vielen Dank für Eure Hinweise.

 

[Mol1@]

Moin moin,
Hast du es schon gelöst bekommen?
Bei mir läuft es…immer bis zum nächsten Update der Station da Synology dann wieder irgend etwas kaputt macht und der Support helfen muss.
Bei Interesse melde dich doch einfach.
VG

 

[rms3013]

Hi Mol1
Gelöst habe ich das Ganze schon aber ganz anders: Ich habe mir Windows Server 2022 auf eine virtuelle Maschine auf der Synology installiert und nun läuf der DC und der Radius-Server darüber.
Ich hatte kein Zeit noch Nerven mehr mich mit der reinen Synology-Lösung auseinander zu setzten. Im Gegensatz zu Dir lief es bei mir nie.
VG

 

[Yippie]

Auf welcher DS hast du die vir. Maschine installiert? Die zieht ja wahrscheinlich ganz schön Ressourcen, oder?

 

[rms3013]

Ich habe eine DS920+ (4 Prozessoren, 8GB). Die Resourcen kann ich steueren (Speicher: 4GB, Anzahl der Prozessoren: 2). Bei mir funktioniert es gut.

 

[Yippie]

Ah, cool!

Ist dies Windows Server ohne grafische Oberfläche? Gab da ja Mal Serverversionen, die ziemlich abgespeckt waren.
Wo bekommt man eine einigermaßen günstige Lizenz zu kaufen?

 

[rms3013]

Ich benutzte die mit graphischer Oberfläche der Essential-Version 2022. Da sind schon 25 CAL drin. Ich habe die Lizenz + CD beim Händler meines Vertrauens gekauft (ca 350 CHF). Du musst eine ISO ziehen (Tools dafür gibt es jede Menge) und diese auf die Synology kopieren. Dann kannst Du den Server installieren.