Wifi authenticatie op basis van google workspace gebruikers - Netwerken

vrijdag 11 november 2022 10:39

Acties:

0 Henk 'm!

HEY! Dat ben ik!

Topicstarter

Ik wil graag mijn wifi authenticatie op basis van mijn google workspace gebruikers laten zijn. Ik wil dit doen door gebruik te maken van een radius server als middleman.

Het idee is dat ik een eigen radius server (freeradius) of een radius dienst (jumpcloud of securew2) de google workspace users laat ophalen en dat ik de authenticatie regel via WPA enteprise met een radius server (WPA2). En dat als de user dan connect met het wifi netwerk, ze de mogelijkheid krijgen om in te loggen met hun google workspace user.

Echter! Elke oplossing die ik tot nu toe gevonden heb, werkt op basis van certificaat authenticatie, en dat is dus juist niet wat ik wil. Want dat houd in dat het certificaat op elk device aanwezig moet zijn, en ik laat de users liever zelf de authenticatie regelen d.m.v. een username en password in te laten vullen.

Ik begin mij alleen steeds meer af te vragen of het kan zoals ik het graag zou willen.

En toevallig vind ik dus van niet! :-)

vrijdag 11 november 2022 11:27

Acties:

0 Henk 'm!

lier

MikroTik nerd

Wat is de reden dat je er een Radius server tussenin wil zetten? Volstaat een captive portal op basis van Google authenticatie niet?

Eerst het probleem, dan de oplossing

zondag 13 november 2022 11:33

Acties:

0 Henk 'm!

Multispeed

HEY! Dat ben ik!

Topicstarter

lier schreef op vrijdag 11 november 2022 @ 11:27:
Wat is de reden dat je er een Radius server tussenin wil zetten? Volstaat een captive portal op basis van Google authenticatie niet?

Dit zou ook zeker mogen, alleen lijkt dit niet te kunnen met de oplossing die ik nu gebruik (zyxel nebula) en lijkt dit ook niet iets te zijn wat de andere merken (ruckus, unifi) etc. zo ondersteunen op basis van een google workspace user directory.

En toevallig vind ik dus van niet! :-)

zondag 13 november 2022 14:34

Acties:

0 Henk 'm!

dion_b

Moderator Harde Waren

say Baah

Multispeed schreef op vrijdag 11 november 2022 @ 10:39:
[...]

Echter! Elke oplossing die ik tot nu toe gevonden heb, werkt op basis van certificaat authenticatie, en dat is dus juist niet wat ik wil. Want dat houd in dat het certificaat op elk device aanwezig moet zijn, en ik laat de users liever zelf de authenticatie regelen d.m.v. een username en password in te laten vullen.

Ik begin mij alleen steeds meer af te vragen of het kan zoals ik het graag zou willen.

Kun je links geven naar wat je gevonden hebt? Want dit klinkt raar.

Bij gebruik van WPA2-Enterprise kun je meerdere soorten EAP authentication gebruiken. Alleen EAP-TLS (en EAP-SIM, maar dat is beetje niche als je geen mobile operator bent) vereist client certificates. EAP-TTLS/MSCHAPv2 vereist alleen server certificates. Je kunt zelfs helemaal certificate-free werken met EAP-MD5, maar dat is ronduit insecure en dus echt geen goed idee, al helemaal niet als je wilt koppelen aan iets als Google (die dat waarschijnlijk ook niet zal toestaan).

Eerste hit die ik vond over Google Workspace vs WPA2-Enterprise gebruikte TLS, dus met client certificates, maar tweede hit was EAP-TTLS en daar heb je dat niet nodig:
https://www.nasirhafeez.c...for-wpa2-enterprise-wifi/

Oslik blyat! Oslik!

zondag 13 november 2022 18:45

Acties:

0 Henk 'm!

laurens0619

Met captive portal zit je dan op open wifi netwerk of een gedeelde psk

Idee van wpa2 enterprise gebruiken is juist dat je ook sterke encryptie krijgt, zou idd via radius kunnen zoals dion linkt

CISSP! Drop your encryption keys!

maandag 14 november 2022 17:26

Acties:

+1 Henk 'm!

Bl@ckbird

Dit kan met Meraki via splash-screen of native via WPA2-Enterprise:

https://documentation.mer...plash_Page/Google_Sign-In

https://documentation.mer...terprise_with_Google_Auth

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

maandag 14 november 2022 23:16

Acties:

0 Henk 'm!

Multispeed

HEY! Dat ben ik!

Topicstarter

Bl@ckbird schreef op maandag 14 november 2022 @ 17:26:
Dit kan met Meraki via splash-screen of native via WPA2-Enterprise:

https://documentation.mer...plash_Page/Google_Sign-In

https://documentation.mer...terprise_with_Google_Auth

Dit is exact wat ik zoek, dank je wel! Zijn er nog meer merken die dit native ondersteunen dat je weet ? Ubiquiti bijvoorbeeld ?

En toevallig vind ik dus van niet! :-)

dinsdag 15 november 2022 01:07

Acties:

0 Henk 'm!

dion_b

Moderator Harde Waren

say Baah

Multispeed schreef op maandag 14 november 2022 @ 23:16:
[...]

Dit is exact wat ik zoek, dank je wel! Zijn er nog meer merken die dit native ondersteunen dat je weet ? Ubiquiti bijvoorbeeld ?

Die tweede methode is 802.1X native, dat kun je op ieder AP dat WPA2-Enterprise ondersteunt instellen.

Als dat (en de uitleg + link die ik eerder postte die je lijkt te negeren...) te ingewikkeld is, vraag ik me sterk af of jij wel de juiste persoon bent om dit in jullie organisatie in te stellen. Ik zou de opdracht terug geven en aanraden dat ze iemand inhuren die basale kennis van enterprise WiFi en RADIUS plus bijbehorende authenticatieprotocollen heeft.

Oslik blyat! Oslik!

dinsdag 15 november 2022 22:23

Acties:

0 Henk 'm!

Multispeed

HEY! Dat ben ik!

Topicstarter

dion_b schreef op dinsdag 15 november 2022 @ 01:07:
[...]

Die tweede methode is 802.1X native, dat kun je op ieder AP dat WPA2-Enterprise ondersteunt instellen.

Als dat (en de uitleg + link die ik eerder postte die je lijkt te negeren...) te ingewikkeld is, vraag ik me sterk af of jij wel de juiste persoon bent om dit in jullie organisatie in te stellen. Ik zou de opdracht terug geven en aanraden dat ze iemand inhuren die basale kennis van enterprise WiFi en RADIUS plus bijbehorende authenticatieprotocollen heeft.

Bedankt voor je feedback!

En toevallig vind ik dus van niet! :-)