Radsec; Konfiguration Von Radsec Für Den Client; Gerät Als Radius-Client; Gerät Als Radius-Server - LANCOM LCOS 9.00 Referenzhandbuch

1. Bei der Anmeldung sendet das Gerät die eingegebenen Anmeldedaten des Benutzers an den RADIUS-Server im Netz.
Die Server-Daten sind dazu im Gerät gespeichert.
2. Der Server prüft die Anmeldedaten auf Gültigkeit.
3. Bei ungültigen Daten sendet er dem Gerät eine entsprechende Nachricht, und das Gerät bricht den Anmeldevorgang
mit einer Fehlernachricht ab.
4. Bei gültigen Anmeldedaten sendet der Server dem Gerät mit der Zugangserlaubnis auch die Zugriffs- und
Funktionsrechte, so dass der Anwender nur auf die entsprechend freigeschalteten Funktionen und Verzeichnisse
zugreifen kann.
5. Falls die Sitzungen des Anwenders durch den RADIUS-Server budgetiert sind (Bereich Accounting), speichert das
Gerät die Sitzungsdaten wie Start, Ende, Benutzername, Authentifizierungsmodus und, wenn vorhanden, den genutzen
Port.

19.11 RADSEC

RADIUS hat sich als Standard für serverbasierte Authentifizierung, Autorisierung und Abrechnung etabliert. Mittlerweile
wird RADIUS z. B. im Zusammenspiel mit EAP/802.1x in Anwendungen eingesetzt, für die es ursprünglich nicht entwickelt
wurde, und weist daher einige Mängel auf:
1
RADIUS läuft über UDP und bietet daher kein natives Verfahren zur Prüfung von Paketverlusten. Dieser Aspekt ist in
einer LAN-Umgebung nicht problematisch, gewinnt aber bei Übertragungen über WAN-Strecken oder das Internet
an Bedeutung.
1 RADIUS verfügt nur über einfache Verfahren zur Authentifizierung über ein „Shared Secret" und nur über geringe
Vertraulichkeit.
Mit RADSEC steht ein alternatives Protokoll zur Verfügung, welches die RADIUS-Pakete durch einen TLS-verschlüsselten
Tunnel überträgt. TLS setzt auf TCP auf und bringt somit einen erprobten Mechanismus zur Überwachung verlorener
Pakete mit. Ausserdem verfügt TLS über hohe Vertraulichkeit und ein Verfahren zur gegenseitigen Authentifizierung über
X.509-Zertifikate.
19.11.1 Konfiguration von RADSEC für den Client
Gerät als RADIUS-Client
In der Funktion als RADIUS-Client wird ein Gerät auf die Verwendung von RADIUS über UDP oder RADSEC über TCP mit
TLS eingestellt. Zusätzlich wird der zu verwendende Port angegeben: 1812 für Authentifizierung über RADIUS, 1813 für
die Abrechnung über RADIUS und 2083 für RADSEC.
Diese Einstellungen werden an allen Stellen vorgenommen, an denen ein Gerät als RADIUS-Client konfiguriert wird:
WEBconfig: Setup / WAN / RADIUS
WEBconfig: Setup / WLAN / RADIUS-Zugriffspruefung
WEBconfig: Setup / WLAN / RADIUS-Accounting
WEBconfig: Setup / Public-Spot-Modul / Anbieter-Tabelle
WEBconfig: Setup / IEEE802.1x / RADIUS-Server
Gerät als RADIUS-Server
Arbeitet ein Gerät selbst als RADIUS-Server, kann der RADSEC-Port konfiguriert werden, auf dem der Server
RADSEC-Anmeldungen erwartet. Darüber hinaus kann für alle RADIUS-Clients in der Client-Liste das zu verwendende
Protokoll (RADIUS, RADSEC oder alle) eingestellt werden. Auf diese Weise kann z. B. RADIUS für die Clients im LAN, die
zuverlässigere RADSEC-Variante über TCP für externe Anmeldungen über das Internet eingesetzt werden.
Referenzhandbuch
19 Weitere Dienste
1255