RADIUS-Server registrieren
- So gelangen Sie in den Bestellprozess: Auftragsverwaltung
RADIUS-Server konfigurieren:
- Um sicherzustellen, dass das 802.1x-Setup korrekt abläuft, müssen bestimmte Parameter auf dem RADIUS-Server konfiguriert werden.
- Wenn Sie eine Konfiguration ändern möchten, müssen Sie die gesamte Konfiguration entfernen und neu erstellen.
- Wenn Sie 802.1x deaktivieren, bleiben die Ports am Switch auf «Dynamic» eingestellt und müssen bei Bedarf manuell angepasst werden.
- Dies ist eine vorübergehende Lösung. Zukünftig wird der Standardwert wiederhergestellt.
RADIUS-Server im Dashboard erfassen:
- Der Standard IEEE 802.1X bietet Ihnen eine allgemeine Methode für die Authentifizierung und Autorisierung in IEEE-802-Netzwerken.
- Im Menüpunkt Einstellungen > RADIUS-Server können Sie die Konfiguration für einen RADIUS-Server hinzufügen:
-
Klicken Sie auf Einstellungen / Konfiguration
-
Neue RADIUS-Server-Konfiguration erstellen
- Unter Servername können Sie dem RADIUS-Server einen benutzerdefinierten Namen geben und die IP-Adresse des Servers eingeben.
- Der RADIUS-Server kann sich in einem beliebigen IP-Segment befinden, solange eine IP-Verbindung vom RADIUS-Client möglich ist.
- Auf dem RADIUS-Server müssen Sie ein Passwort (Shared Key) festlegen, das nicht länger als 32 Zeichen ist.
- Der Shared Key umfasst alle Clients, die mit einem RADIUS-Server verbunden sind.
- Wenn Sie einen zusätzlichen Client hinzufügen, wird der Shared Key automatisch übernommen. Optional können Sie für jeden RADIUS-Client einen separaten Shared Key definieren (siehe Abschnitt unten).
-
Bestätigen und speichern Sie die Informationen
-
Senden Sie den Warenkorb, um die Konfiguration zu aktivieren
- Alle Konfigurationen werden erst dann aktiv auf die Netzwerkkomponenten geschrieben, wenn Sie den Warenkorb gesendet haben
- Sie können dies nach jedem Schritt oder (empfohlen) erst nach mehreren Schritten tun
Standardwerte für Standorte:
- Durch Klicken auf Einstellungen > RADIUS-Server und dann den Menüpunkt «Standardwerte für Standorte» können Sie Standardwerte definieren, die allen Standorten zugewiesen werden können
- Legen Sie den Standard-RADIUS-Server für RADIUS-Clients an einem Standort fest
Attribute:
-
Die Zuweisung der Gruppe zum Antragsteller erfolgt über 3 Attribute: Tunnel-Medium-Type, Tunnel-Private-Group-ID und Tunnel-Type.
-
Diese Attribute sollten den RADIUS Access-Accept-Daten auf dem RADIUS-Server hinzugefügt werden. Tunnel-Medium-Type = IEEE-802(6)
-
Der Wert des Attributs Tunnel-Medium-Type muss auf IEEE-802 gesetzt werden. Tunnel-Private-Group-ID = $[VLAN_NAME]
-
Der Wert des Attributs Tunnel-Private-Group-ID muss das Zeichen '$' sein, gefolgt vom VLAN-Namen, der dem Antragsteller zugewiesen wird.
-
Wenn der VLAN-Name z. B. 'VLAN1' ist, muss die Tunnel-Private-Group-ID wie folgt definiert werden: Tunnel-Private-Group-ID = $VLAN1
-
Wenn der VLAN-Name Leerzeichen enthält, müssen am Anfang und Ende doppelte Anführungszeichen hinzugefügt werden.
-
Wenn der VLAN-Name z. B. 'VLAN 2' ist, muss die Tunnel-Private-Group-ID wie folgt definiert werden: Tunnel-Private-Group-ID = "$VLAN 2" Tunnel-Type = VLAN(13)
-
Der Wert des Attributs Tunnel-Type muss auf VLAN gesetzt werden.
-
Wenn einige Attribute fehlen oder der Authentifikator nicht mit dem Gruppennamen übereinstimmt, wird der Antragsteller der Gruppe nicht zugewiesen.
-
Der Tag für die Parameter Tunnel-Medium-Type, Tunnel-Private-Group-ID und Tunnel-Type muss auf 0 bleiben: AVP: t=Tunnel-Medium-Type(65) l=6 Tag=0x00 val=IEEE-802(6) Type: 65 Length: 6 Tag: 0x00 Tunnel-Medium-Type: IEEE-802 (6)
AVP: t=Tunnel-Private-Group-Id(81) l=9 val=$group1 Type: 81 Length: 9 Tunnel-Private-Group-Id: $group1
AVP: t=Tunnel-Type(64) l=6 Tag=0x00 val=VLAN(13) Type: 64 Length: 6 Tag: 0x00 Tunnel-Type: VLAN (13)
Hinweise zum Switch:
- Ein Switch-Port, der als 802.1X konfiguriert ist, ist für die benutzerbasierte 802.1X-Zugriffskontrolle für mehrere Benutzer eingerichtet.
- Zusätzlich ist der Port als MAC-Authentifizierung für mehrere Geräte konfiguriert.
- Die Authentifizierungsmethode für den benutzerbasierten Zugriff ist eap-radius, die MAC-Authentifizierung ist chap-radius.
- Jeder dynamische Port am Switch unterstützt mehrere 802.1X-Supplicants.
- Sie können MAC-basiert, benutzerbasiert oder zertifikatsbasiert authentifiziert werden.
Hinweise zum Access Point:
- Bezüglich 802.1x im WLAN erlauben die Access Points derzeit nicht, dass sich ein WiFi-Supplicant mit MAC authentifiziert.
- Die MAC-basierte Authentifizierung ist sicherheitstechnisch schwach.