Passa al contenuto principale

Registrare il server RADIUS

Configurazione del server RADIUS:


  • Per garantire che la configurazione 802.1X funzioni correttamente, è necessario configurare determinati parametri sul server RADIUS.
  • Se si desidera modificare una configurazione, è necessario rimuovere l'intera configurazione e ricrearla.
  • Se si disabilita 802.1X, le porte sullo switch rimangono impostate su Dynamic e devono essere regolate manualmente, se necessario.
  • Questa è una soluzione temporanea. In futuro verrà ripristinato il valore predefinito.

Inserire i server RADIUS nel Dashboard:


  • Lo standard IEEE 802.1X fornisce un metodo generale per l'autenticazione e l'autorizzazione nelle reti IEEE 802.
  • Nella voce di menu Impostazioni > Server RADIUS, è possibile aggiungere la configurazione per un server RADIUS:
  1. Fare clic su Impostazioni / Configurazione

  2. Creare una nuova configurazione del server RADIUS

    • Sotto Nome server è possibile assegnare al server RADIUS un nome definito dall'utente e inserire l'indirizzo IP del server.
    • Il server RADIUS può trovarsi in qualsiasi segmento IP purché sia possibile una connessione IP dal client RADIUS.
    • Sul server RADIUS è necessario impostare una password (shared key) non superiore a 32 caratteri.
    • La shared key comprende tutti i client collegati a un server RADIUS.
    • Se si aggiunge un client aggiuntivo, la shared key viene applicata automaticamente. È possibile opzionalmente definire una shared key separata per ogni client RADIUS (vedere la sezione seguente).
  3. Confermare e salvare le informazioni

  4. Inviare il carrello per attivare la configurazione

    • Tutte le configurazioni non vengono scritte attivamente sui componenti di rete fino a quando non si è inviato il carrello
    • È possibile farlo dopo ogni passaggio o (consigliato) solo dopo diversi passaggi

Valori predefiniti per le sedi:


  • Facendo clic su Impostazioni > Server RADIUS quindi sulla voce di menu Valori predefiniti per le sedi, è possibile definire valori predefiniti che possono essere assegnati a tutte le sedi
  • Impostare il server RADIUS predefinito per i client RADIUS in una sede

Attributi:


  • L'assegnazione del gruppo al richiedente avviene tramite 3 attributi: Tunnel-Medium-Type, Tunnel-Private-Group-ID e Tunnel-Type.

  • Questi attributi devono essere aggiunti ai dati RADIUS Access-Accept sul server RADIUS. Tunnel-Medium-Type = IEEE-802(6)

  • Il valore dell'attributo Tunnel-Medium-Type deve essere impostato su IEEE-802. Tunnel-Private-Group-ID = $[VLAN_NAME]

  • Il valore dell'attributo Tunnel-Private-Group-ID deve essere il carattere '$', seguito dal nome VLAN assegnato al richiedente.

  • Se il nome VLAN è 'VLAN1', ad esempio, il Tunnel-Private-Group-ID deve essere definito come segue: Tunnel-Private-Group-ID = $VLAN1

  • Se il nome VLAN contiene spazi, è necessario aggiungere virgolette doppie all'inizio e alla fine.

  • Se il nome VLAN è 'VLAN 2', ad esempio, il Tunnel-Private-Group-ID deve essere definito come segue: Tunnel-Private-Group-ID = "$VLAN 2" Tunnel-Type = VLAN(13)

  • Il valore dell'attributo Tunnel-Type deve essere impostato su VLAN.

  • Se alcuni attributi mancano o l'autenticatore non corrisponde al nome del gruppo, il richiedente non verrà assegnato al gruppo.

  • Il Tag per i parametri Tunnel-Medium-Type, Tunnel-Private-Group-ID e Tunnel-Type deve rimanere su 0: AVP: t=Tunnel-Medium-Type(65) l=6 Tag=0x00 val=IEEE-802(6) Type: 65 Length: 6 Tag: 0x00 Tunnel-Medium-Type: IEEE-802 (6)

    AVP: t=Tunnel-Private-Group-Id(81) l=9 val=$group1 Type: 81 Length: 9 Tunnel-Private-Group-Id: $group1

    AVP: t=Tunnel-Type(64) l=6 Tag=0x00 val=VLAN(13) Type: 64 Length: 6 Tag: 0x00 Tunnel-Type: VLAN (13)

Considerazioni riguardanti lo Switch:


  • Una porta dello Switch configurata come 802.1X è configurata per il controllo di accesso 802.1X basato sull'utente per utenti multipli.
  • Inoltre, la porta è configurata per l'autenticazione MAC per dispositivi multipli.
  • Il metodo di autenticazione per l'accesso basato sull'utente è eap-radius, l'autenticazione MAC è chap-radius.
  • Ogni porta Dynamic sullo Switch supporta più supplicant 802.1X.
  • Possono essere autenticati tramite MAC, utente o certificato.

Considerazioni riguardanti l'Access Point:


  • Per quanto riguarda 802.1X su WLAN, attualmente gli Access Points non consentono a un supplicant WiFi di autenticarsi tramite MAC.
  • L'autenticazione basata su MAC offre una sicurezza debole.