Inhaltsverzeichnis
Werbung
Referenzhandbuch
19 Weitere Dienste
19.10.4 LCS-WPA-Passphrase
Ab LCOS-Version 8.80 enthält die Benutzertabelle des RADIUS-Servers auch die jeweilig zugeordnete WPA-Passphrase
des registrierten Benutzers. Somit kann auch ein LAN-gebundenes Gerät als zentraler RADIUS-Server dienen und die
Vorteile von LEPS (LANCOM Enhanced Passphrase Security) nutzen.
Bei der Konfiguration von LEPS wird lediglich jeder MAC-Adresse eines im WLAN zugelassenen Clients eine eigene
Passphrase zugeordnet. Dazu wird der MAC-Filter positiv eingestellt, d. h. die Daten von den hier eingetragenen
WLAN-Clients werden übertragen.
5
Verwenden Sie als Passphrase zufällige Zeichenketten von mindestens 32 Zeichen Länge.
Die client-spezifische Passphrase ist in der Benutzertabelle des RADIUS-Servers gespeichert. Somit kann auch ein
LAN-gebundenes Gerät als zentraler RADIUS-Server dienen und die Vorteile von LEPS nutzen.
Konfiguration
Bei der Konfiguration von LEPS wird lediglich jeder MAC-Adresse eines im WLAN zugelassenen Clients eine eigene
Passphrase zugeordnet. Dazu wird der MAC-Filter positiv eingestellt, d. h., die Daten von den hier eingetragenen
WLAN-Clients werden übertragen.
5
Verwenden Sie als Passphrase zufällige Zeichenketten von mindestens 32 Zeichen Länge.
Die client-spezifische Passphrase ist in der Benutzertabelle des RADIUS-Servers gespeichert. Somit kann auch ein
LAN-gebundenes Gerät als zentraler RADIUS-Server dienen und die Vorteile von LEPS nutzen.
19.10.5 RADIUS-Forwarding
Bei den „mehrschichtigen" EAP-Protokollen wie TTLS oder PEAP kann die eigentliche „innere" Authentifizierung auf
einem separaten RADIUS-Server erfolgen. Das ermöglicht z. B. die Weiterverwendung eines existierenden RADIUS-Servers,
der nur die Benutzertabellen bereitstellt, selbst aber nicht EAP(/TLS)-fähig ist. Der TLS/TTLS/PEAP-Tunnel wird in diesem
Fall vom LCOS-RADIUS-Server verwaltet.
Die Konfiguration von solchen mehrschichtigen Protokollen ist Teil einer allgemeinen Methode zur Weiterleitung von
RADIUS-Anfragen, mit der ein LCOS-RADIUS-Servers auch als RADIUS-Proxy verwendet werden kann. Die Weiterleitung
von Anfragen bzw. die Proxy-Funktion basieren auf dem Konzept der „Realms". Ein Realm ist eine Zeichenkette, welche
die Gültigkeit einer Reihe von Benutzerkonten definiert. Sofern es definiert ist, wird der Realm über ein @-Zeichen getrennt
an den Benutzernamen angehängt in der Form:
benutzer@realm
Der Realm kann als Hinweis auf den RADIUS-Server verstanden werden, auf dem das Benutzerkonto verwaltet wird. Vor
dem Durchsuchen der Benutzertabelle auf dem RADIUS-Server wird der Realm wieder entfernt. Mit der Nutzung von
Realms können ganze Netzwerke, die untereinander als vertrauenswürdig gelten, die RADIUS-Server in den Partner-Netzen
nutzen und so auch zwischen den Netzen wechselnde Benutzer authentifizieren. Der LCOS-RADIUS-Server speichert die
verbundenen RADIUS-Server mit Angabe des zugehörigen Realms in einer Weiterleitungs-Tabelle. Diese Tabelle wird
nach dem – in Verbindung mit dem Benutzernamen übermittelten – Realm durchsucht. Wenn keine Übereinstimmung
gefunden wird, wird die Anfrage mit einem Access Reject beantwortet. Ein leerer Realm wird als lokale Anfrage gewertet,
d. h. der LCOS-RADIUS-Server durchsucht seine eigenen Benutzer-Tabellen und erzeugt daraus die entsprechende Antwort.
Zur Unterstützung der Realm-Verarbeitung verwendet der LCOS-RADIUS-Server zwei spezielle Realms:
1
Default-Realm: Dieser Realm wird verwendet, wenn ein Realm übermittelt wird, für den kein expliziter
Forwarding-Server definiert ist. Für den Default-Realm selbst muss in der Weiterleitungs-Tabelle allerdings ein
entsprechender Eintrag angelegt werden.
1
Leer-Realm: Dieser Realm wird verwendet, wenn kein Realm, sondern nur der Benutzername übermittelt wird.
Im Default-Zustand enthält die Weiterleitungs-Tabelle keine Einträge, der Default- und der Leer-Realm sind leer. Das
bedeutet das alle Anfragen als lokale Anfragen behandelt werden und ggf. übermittelte Realms werden ignoriert. Um
1250
Werbung
Inhaltsverzeichnis
