Herunterladen Inhalt Inhalt
Teilen
Diese Seite drucken
  1. Anleitungen
  2. Marken
  3. LANCOM Anleitungen
  4. Netzwerkhardware
  5. Public Spot
  6. Handbuch

Authentifizierung Über Radius - LANCOM Public Spot Handbuch

Vorschau ausblenden
Inhaltsverzeichnis

Werbung

Handbuch Public Spot
3 Einrichtung und Betrieb
1
Den zur Authentifizierung verwendeten Benutzernamen
1
Den bisher vom Client erzeugten Datenverkehr
1
Die bisher verstrichene Sitzungsdauer
1
Die IP-Adresse des Clients
1
Mögliche Limits zu Sitzungsdauer und Datenvolumen
1
Mögliche Angaben zur Leerlauf-Zeitüberschreitung
1
Wenn RADIUS-Accounting für die Sitzung verwendet wurde:
1
Den für das RADIUS-Accounting verwendeten Eintrag in der Anmelde-Server-Liste, referenziert durch den Namen
1
Den für die Interim-Updates verwendeten Accounting-Zyklus
Nach erfolgreicher Übergabe beendet der alte Access Point die Sitzung; d. h. er sendet im Falle von RADIUS-Accounting
eine Accounting-Stop-Anfrage an den RADIUS-Accounting-Server. Diese ist erforderlich, da ein RADIUS-Server die
NAS-Identifizierung nutzen kann, um Anfragen bestimmten Sitzungen zuzuordnen, und er diese Anfragen nicht mehr
der richtigen Sitzung zuordnen kann, sobald er die Datenpakete zu einer Sitzung von mehreren Geräten bekommt. Wenn
ein Access Point diese Informationen in einer Übergabeantwort erhält, markiert er den Client sofort als authentifiziert
und startet nach Möglichkeit eine neue RADIUS-Accounting-Session.
5
Beachten Sie, dass der neue Access Point einen entsprechenden Eintrag in seiner Anmelde-Server-Liste benötigt,
um die hierfür benötigten Informationen zu erhalten. Der für das Public Spot-Modul spezifische Teil einer
Übergabeantwort ist durch ein "shared secret" geschützt, welches im Setup-Menü unter Public-Spot-Modul >
Roaming-Schluessel. Diese Sicherheitsmaßnahme soll das Fälschen von Übergabeantworten verhindern. Ohne
ein konfiguriertes Passwort hängt ein Access Point die oben angeführten Informationen nicht an eine
Übergabeantwort an, was den Client zwingt, sich erneut zu authentifizieren.
3.3.8 Authentifizierung über RADIUS
RADIUS ist ein weitläufig anerkanntes Protokoll, um auch größeren Benutzergruppen den Zugang zu einem Server
bereitzustellen. Ursprünglich für den Dial-in-Serverzugang über Telefonleitungen entwickelt, eignet sich das Konzept
ebenfalls für den Authentifizierungsprozess eines Hotspots. In einem komplexeren Provider-Netzwerk lässt sich dadurch
z. B. dieselbe Benutzerbasis sowohl für Zugänge über Dial-in als auch via Hotspot verwenden. RADIUS-Server und ihre
Zugangsparameter konfigurieren Sie im Dialog Public-Spot > Server unter Anmelde-Server.
In bestimmten Szenarien kann es sinnvoll sein, mehr als nur einen RADIUS-Server einzusetzen. Generell wird ein
RADIUS-Server durch seine IP-Adresse, den UPD-Port (typischerweise Port 1645 oder 1812) und das sogenannte "shared
secret" spezifiziert. Dies ist eine beliebige Zeichenfolge, welche als Passwort für den Zugang zum Server fungiert. Nur
Clients, die das shared secret kennen, können mit dem RADIUS-Server interagieren, da das Passwort des Benutzerkontos
mit dem shared secret gehashed wird, anstatt es im Klartext zu übermitteln.
Die einfachste Transaktion zwischen einem RADIUS-Server und einem Client besteht aus dem Übermitteln der eingegebenen
Benutzerdaten durch das Gerät und der Antwort des Server mit "ja" oder "nein". Das RADIUS-Protokoll erlaubt allerdings
auch komplexere Antworten und Anfragen, bei denen die Kommunikationspartner für Anfragen und Anworten eine
variable Liste von Werten – sogenannte "Attribute" – verwendet. Im
Gerät an einen RADIUS-Server senden kann und welche Attribute einer RADIUS-Antwort Ihr Gerät versteht.
Multiple Anmelde-Server
Wie erwähnt, kann die Liste der Anmelde-Server mehr als nur einen Eintrag beinhalten. Es sind Szenarios denkbar, in
denen ein Hotspot den Internetzugang für Kunden verschiedener Service-Provider (Anbieter) bereitstellt. Diese Anbieter
haben möglichweise getrennte Benutzerdatenbanken und eigene RADIUS-Server. Das Gerät muss dann anhand des
Benutzernamens entscheiden, welcher Anbieter zum betreffenden Benutzer gehört.
Immer, wenn das Gerät für einen zu authentifizierenden Benutzer keinen Eintrag in eigenen, internen Benutzerliste
vorfindet, geht es die Liste der Anmelde-Server durch und versucht den Anbieter zu finden, der zu dem betreffenden
Benutzer gehört. Der Eintrag Max.Mustermann@lancom.de enthält beispielsweise den Anmelde-Server-Eintrag
LANCOM. Scheitert diese erste Zuordnung, versucht das Gerät, dem Benutzer den Eintrag DEFAULT zuzuordnen.
54
Anhang
finden Sie eine Liste, welche Attribute Ihr
Quicklinks anzeigen

Quicklinks ausblenden:

Werbung

Inhaltsverzeichnis
loading

Verwandte Anleitungen für LANCOM Public Spot

Verwandte Inhalte für LANCOM Public Spot

Inhaltsverzeichnis