Inhaltsverzeichnis
Werbung
ein konfiguriertes Passwort hängt ein Access Point die oben angeführten Informationen nicht an eine
Übergabeantwort an, was den Client zwingt, sich erneut zu authentifizieren.
Authentifizierung über RADIUS
RADIUS ist ein weitläufig anerkanntes Protokoll, um auch größeren Benutzergruppen den Zugang zu einem Server
bereitzustellen. Ursprünglich für den Dial-in-Serverzugang über Telefonleitungen entwickelt, eignet sich das Konzept
ebenfalls für den Authentifizierungsprozess eines Hotspots. In einem komplexeren Provider-Netzwerk lässt sich dadurch
z. B. dieselbe Benutzerbasis sowohl für Zugänge über Dial-in als auch via Hotspot verwenden. RADIUS-Server und ihre
Zugangsparameter konfigurieren Sie im Dialog Public-Spot > Server unter Anmelde-Server.
In bestimmten Szenarien kann es sinnvoll sein, mehr als nur einen RADIUS-Server einzusetzen. Generell wird ein
RADIUS-Server durch seine IP-Adresse, den UPD-Port (typischerweise Port 1645 oder 1812) und das sogenannte "shared
secret" spezifiziert. Dies ist eine beliebige Zeichenfolge, welche als Passwort für den Zugang zum Server fungiert. Nur
Clients, die das shared secret kennen, können mit dem RADIUS-Server interagieren, da das Passwort des Benutzerkontos
mit dem shared secret gehashed wird, anstatt es im Klartext zu übermitteln.
Die einfachste Transaktion zwischen einem RADIUS-Server und einem Client besteht aus dem Übermitteln der eingegebenen
Benutzerdaten durch das Gerät und der Antwort des Server mit "ja" oder "nein". Das RADIUS-Protokoll erlaubt allerdings
auch komplexere Antworten und Anfragen, bei denen die Kommunikationspartner für Anfragen und Anworten eine
variable Liste von Werten – sogenannte "Attribute" – verwendet. Im
Gerät an einen RADIUS-Server senden kann und welche Attribute einer RADIUS-Antwort Ihr Gerät versteht.
Multiple Anmelde-Server
Wie erwähnt, kann die Liste der Anmelde-Server mehr als nur einen Eintrag beinhalten. Es sind Szenarios denkbar, in
denen ein Hotspot den Internetzugang für Kunden verschiedener Service-Provider (Anbieter) bereitstellt. Diese Anbieter
haben möglichweise getrennte Benutzerdatenbanken und eigene RADIUS-Server. Das Gerät muss dann anhand des
Benutzernamens entscheiden, welcher Anbieter zum betreffenden Benutzer gehört.
Immer, wenn das Gerät für einen zu authentifizierenden Benutzer keinen Eintrag in eigenen, internen Benutzerliste
vorfindet, geht es die Liste der Anmelde-Server durch und versucht den Anbieter zu finden, der zu dem betreffenden
Benutzer gehört. Der Eintrag Max.Mustermann@mydomain.de enthält beispielsweise den Anmelde-Server-Eintrag
MYDOMAIN. Scheitert diese erste Zuordnung, versucht das Gerät, dem Benutzer den Eintrag DEFAULT zuzuordnen.
Sofern auch dieser Eintrag nicht existiert, wählt das Gerät den Anmelde-Server, in der Liste an erster Stelle steht. Findet
das Gerät auch hier keinen Eintrag (d. h. die Liste ist leer), schlägt die Benutzerauthentifizierung fehl.
Unabhängig von der Zuordnung eines Benutzers zum Anmeldeserver übermittelt Ihr Gerät stets den vollen Benutzername
an den ausgewählten RADIUS-Server. Der ausgewählte RADIUS-Server wird als Anbieter für die anschließende Sitzung
gespeichert und für das optionale RADIUS-Accounting verwendet.
Verkettung von Backup-Servern
Internetanbieter wünschen sich eine hohe Verfügbarkeit ihres Angebots und eine übliche Methode, dies zu erreichen,
ist Redundanz. Diese Redundanz wird über Backup-Servers erreicht, welche immer dann angefragt werden, wenn die
Anfrage auf den primären Server eine Zeitüberschreitung erzeugt hat, z. B. weil der Server selbst oder andere
Netzwerkkomponenten auf dem Weg dahin unerreichbar sind.
Der Bedarf an Backup-Servern variiert dabei stark zwischen den unterschiedlichen Anbietern, weshalb die Liste der
Anmeldeserver keine fixe Anzahl von Eingabefeldern vorgibt. Stattdessen bietet Ihnen das Gerät eine Verkettung von
Backup-Servern an (Backup-Chaining). Hierbei werden zwei oder mehr Einträge der Anmelde-Server-Liste miteinander
verkettet, um eine Abfolge von RADIUS-Servern zu erstellen. Das Gerät arbeitet diese Liste Glied für Glied ab, bis es das
Ende erreicht hat (Scheitern der Authentifizierung wegen Nicht-Erreichbarkeit des Servers) oder eine Antwort erhält
(entweder Positiv oder Negativ).
Sie verketten Backup-Server über das Eingabefeld Backup-Name im Hinzufügen-/Bearbeiten-Dialog unter Public-Spot >
Server > Anmelde-Server. Wann immer eine RADIUS-Anfrage scheitert (also eine Zeitüberschreitung erzeugt), prüft
das Gerät das Backup-Feld und versucht, den darin referenzierten Server zu erreichen. Grundsätzlich lässt sich damit
eine beliebige Anzahl von Servern miteinander verketten, wodurch auch die Möglichkeit besteht, mehreren Providern
Anhang
finden Sie eine Liste, welche Attribute Ihr
Referenzhandbuch
14 Public Spot
935
Werbung
Inhaltsverzeichnis
