Zum Hauptinhalt springen

RADIUS-Server registrieren

RADIUS-Server konfigurieren:


  • Um sicherzustellen, dass das 802.1x-Setup korrekt abläuft, müssen bestimmte Parameter auf dem RADIUS-Server konfiguriert werden.
  • Wenn Sie eine Konfiguration ändern möchten, müssen Sie die gesamte Konfiguration entfernen und neu erstellen.
  • Wenn Sie 802.1x deaktivieren, bleiben die Ports am Switch auf «Dynamic» eingestellt und müssen bei Bedarf manuell angepasst werden.
  • Dies ist eine vorübergehende Lösung. Zukünftig wird der Standardwert wiederhergestellt.

RADIUS-Server im Dashboard erfassen:


  • Der Standard IEEE 802.1X bietet Ihnen eine allgemeine Methode für die Authentifizierung und Autorisierung in IEEE-802-Netzwerken.
  • Im Menüpunkt Einstellungen > RADIUS-Server können Sie die Konfiguration für einen RADIUS-Server hinzufügen:
  1. Klicken Sie auf Einstellungen / Konfiguration

  2. Neue RADIUS-Server-Konfiguration erstellen

    • Unter Servername können Sie dem RADIUS-Server einen benutzerdefinierten Namen geben und die IP-Adresse des Servers eingeben.
    • Der RADIUS-Server kann sich in einem beliebigen IP-Segment befinden, solange eine IP-Verbindung vom RADIUS-Client möglich ist.
    • Auf dem RADIUS-Server müssen Sie ein Passwort (Shared Key) festlegen, das nicht länger als 32 Zeichen ist.
    • Der Shared Key umfasst alle Clients, die mit einem RADIUS-Server verbunden sind.
    • Wenn Sie einen zusätzlichen Client hinzufügen, wird der Shared Key automatisch übernommen. Optional können Sie für jeden RADIUS-Client einen separaten Shared Key definieren (siehe Abschnitt unten).
  3. Bestätigen und speichern Sie die Informationen

  4. Senden Sie den Warenkorb, um die Konfiguration zu aktivieren

    • Alle Konfigurationen werden erst dann aktiv auf die Netzwerkkomponenten geschrieben, wenn Sie den Warenkorb gesendet haben
    • Sie können dies nach jedem Schritt oder (empfohlen) erst nach mehreren Schritten tun

Standardwerte für Standorte:


  • Durch Klicken auf Einstellungen > RADIUS-Server und dann den Menüpunkt «Standardwerte für Standorte» können Sie Standardwerte definieren, die allen Standorten zugewiesen werden können
  • Legen Sie den Standard-RADIUS-Server für RADIUS-Clients an einem Standort fest

Attribute:


  • Die Zuweisung der Gruppe zum Antragsteller erfolgt über 3 Attribute: Tunnel-Medium-Type, Tunnel-Private-Group-ID und Tunnel-Type.

  • Diese Attribute sollten den RADIUS Access-Accept-Daten auf dem RADIUS-Server hinzugefügt werden. Tunnel-Medium-Type = IEEE-802(6)

  • Der Wert des Attributs Tunnel-Medium-Type muss auf IEEE-802 gesetzt werden. Tunnel-Private-Group-ID = $[VLAN_NAME]

  • Der Wert des Attributs Tunnel-Private-Group-ID muss das Zeichen '$' sein, gefolgt vom VLAN-Namen, der dem Antragsteller zugewiesen wird.

  • Wenn der VLAN-Name z. B. 'VLAN1' ist, muss die Tunnel-Private-Group-ID wie folgt definiert werden: Tunnel-Private-Group-ID = $VLAN1

  • Wenn der VLAN-Name Leerzeichen enthält, müssen am Anfang und Ende doppelte Anführungszeichen hinzugefügt werden.

  • Wenn der VLAN-Name z. B. 'VLAN 2' ist, muss die Tunnel-Private-Group-ID wie folgt definiert werden: Tunnel-Private-Group-ID = "$VLAN 2" Tunnel-Type = VLAN(13)

  • Der Wert des Attributs Tunnel-Type muss auf VLAN gesetzt werden.

  • Wenn einige Attribute fehlen oder der Authentifikator nicht mit dem Gruppennamen übereinstimmt, wird der Antragsteller der Gruppe nicht zugewiesen.

  • Der Tag für die Parameter Tunnel-Medium-Type, Tunnel-Private-Group-ID und Tunnel-Type muss auf 0 bleiben: AVP: t=Tunnel-Medium-Type(65) l=6 Tag=0x00 val=IEEE-802(6) Type: 65 Length: 6 Tag: 0x00 Tunnel-Medium-Type: IEEE-802 (6)

    AVP: t=Tunnel-Private-Group-Id(81) l=9 val=$group1 Type: 81 Length: 9 Tunnel-Private-Group-Id: $group1

    AVP: t=Tunnel-Type(64) l=6 Tag=0x00 val=VLAN(13) Type: 64 Length: 6 Tag: 0x00 Tunnel-Type: VLAN (13)

Hinweise zum Switch:


  • Ein Switch-Port, der als 802.1X konfiguriert ist, ist für die benutzerbasierte 802.1X-Zugriffskontrolle für mehrere Benutzer eingerichtet.
  • Zusätzlich ist der Port als MAC-Authentifizierung für mehrere Geräte konfiguriert.
  • Die Authentifizierungsmethode für den benutzerbasierten Zugriff ist eap-radius, die MAC-Authentifizierung ist chap-radius.
  • Jeder dynamische Port am Switch unterstützt mehrere 802.1X-Supplicants.
  • Sie können MAC-basiert, benutzerbasiert oder zertifikatsbasiert authentifiziert werden.

Hinweise zum Access Point:


  • Bezüglich 802.1x im WLAN erlauben die Access Points derzeit nicht, dass sich ein WiFi-Supplicant mit MAC authentifiziert.
  • Die MAC-basierte Authentifizierung ist sicherheitstechnisch schwach.