Registrare il server RADIUS
- Come accedere al processo di ordine: Gestione ordini
Configurazione del server RADIUS:
- Per garantire che la configurazione 802.1X funzioni correttamente, è necessario configurare determinati parametri sul server RADIUS.
- Se si desidera modificare una configurazione, è necessario rimuovere l'intera configurazione e ricrearla.
- Se si disabilita 802.1X, le porte sullo switch rimangono impostate su Dynamic e devono essere regolate manualmente, se necessario.
- Questa è una soluzione temporanea. In futuro verrà ripristinato il valore predefinito.
Inserire i server RADIUS nel Dashboard:
- Lo standard IEEE 802.1X fornisce un metodo generale per l'autenticazione e l'autorizzazione nelle reti IEEE 802.
- Nella voce di menu Impostazioni > Server RADIUS, è possibile aggiungere la configurazione per un server RADIUS:
-
Fare clic su Impostazioni / Configurazione
-
Creare una nuova configurazione del server RADIUS
- Sotto Nome server è possibile assegnare al server RADIUS un nome definito dall'utente e inserire l'indirizzo IP del server.
- Il server RADIUS può trovarsi in qualsiasi segmento IP purché sia possibile una connessione IP dal client RADIUS.
- Sul server RADIUS è necessario impostare una password (shared key) non superiore a 32 caratteri.
- La shared key comprende tutti i client collegati a un server RADIUS.
- Se si aggiunge un client aggiuntivo, la shared key viene applicata automaticamente. È possibile opzionalmente definire una shared key separata per ogni client RADIUS (vedere la sezione seguente).
-
Confermare e salvare le informazioni
-
Inviare il carrello per attivare la configurazione
- Tutte le configurazioni non vengono scritte attivamente sui componenti di rete fino a quando non si è inviato il carrello
- È possibile farlo dopo ogni passaggio o (consigliato) solo dopo diversi passaggi
Valori predefiniti per le sedi:
- Facendo clic su Impostazioni > Server RADIUS quindi sulla voce di menu Valori predefiniti per le sedi, è possibile definire valori predefiniti che possono essere assegnati a tutte le sedi
- Impostare il server RADIUS predefinito per i client RADIUS in una sede
Attributi:
-
L'assegnazione del gruppo al richiedente avviene tramite 3 attributi: Tunnel-Medium-Type, Tunnel-Private-Group-ID e Tunnel-Type.
-
Questi attributi devono essere aggiunti ai dati RADIUS Access-Accept sul server RADIUS. Tunnel-Medium-Type = IEEE-802(6)
-
Il valore dell'attributo Tunnel-Medium-Type deve essere impostato su IEEE-802. Tunnel-Private-Group-ID = $[VLAN_NAME]
-
Il valore dell'attributo Tunnel-Private-Group-ID deve essere il carattere '$', seguito dal nome VLAN assegnato al richiedente.
-
Se il nome VLAN è 'VLAN1', ad esempio, il Tunnel-Private-Group-ID deve essere definito come segue: Tunnel-Private-Group-ID = $VLAN1
-
Se il nome VLAN contiene spazi, è necessario aggiungere virgolette doppie all'inizio e alla fine.
-
Se il nome VLAN è 'VLAN 2', ad esempio, il Tunnel-Private-Group-ID deve essere definito come segue: Tunnel-Private-Group-ID = "$VLAN 2" Tunnel-Type = VLAN(13)
-
Il valore dell'attributo Tunnel-Type deve essere impostato su VLAN.
-
Se alcuni attributi mancano o l'autenticatore non corrisponde al nome del gruppo, il richiedente non verrà assegnato al gruppo.
-
Il Tag per i parametri Tunnel-Medium-Type, Tunnel-Private-Group-ID e Tunnel-Type deve rimanere su 0: AVP: t=Tunnel-Medium-Type(65) l=6 Tag=0x00 val=IEEE-802(6) Type: 65 Length: 6 Tag: 0x00 Tunnel-Medium-Type: IEEE-802 (6)
AVP: t=Tunnel-Private-Group-Id(81) l=9 val=$group1 Type: 81 Length: 9 Tunnel-Private-Group-Id: $group1
AVP: t=Tunnel-Type(64) l=6 Tag=0x00 val=VLAN(13) Type: 64 Length: 6 Tag: 0x00 Tunnel-Type: VLAN (13)
Considerazioni riguardanti lo Switch:
- Una porta dello Switch configurata come 802.1X è configurata per il controllo di accesso 802.1X basato sull'utente per utenti multipli.
- Inoltre, la porta è configurata per l'autenticazione MAC per dispositivi multipli.
- Il metodo di autenticazione per l'accesso basato sull'utente è eap-radius, l'autenticazione MAC è chap-radius.
- Ogni porta Dynamic sullo Switch supporta più supplicant 802.1X.
- Possono essere autenticati tramite MAC, utente o certificato.
Considerazioni riguardanti l'Access Point:
- Per quanto riguarda 802.1X su WLAN, attualmente gli Access Points non consentono a un supplicant WiFi di autenticarsi tramite MAC.
- L'autenticazione basata su MAC offre una sicurezza debole.