Inhaltsverzeichnis
Werbung
18.10.4 LCS-WPA-Passphrase
Ab LCOS-Version 8.80 enthält die Benutzertabelle des RADIUS-Servers auch die jeweilig zugeordnete WPA-Passphrase
des registrierten Benutzers. Somit kann auch ein LAN-gebundenes Gerät als zentraler RADIUS-Server dienen und die
Vorteile von LEPS (LANCOM Enhanced Passphrase Security) nutzen.
Bei der Konfiguration von LEPS wird lediglich jeder MAC-Adresse eines im WLAN zugelassenen Clients eine eigene
Passphrase zugeordnet. Dazu wird der MAC-Filter positiv eingestellt, d. h. die Daten von den hier eingetragenen
WLAN-Clients werden übertragen.
5
Verwenden Sie als Passphrase zufällige Zeichenketten von mindestens 32 Zeichen Länge.
Die client-spezifische Passphrase ist in der Benutzertabelle des RADIUS-Servers gespeichert. Somit kann auch ein
LAN-gebundenes Gerät als zentraler RADIUS-Server dienen und die Vorteile von LEPS nutzen.
Konfiguration
Bei der Konfiguration von LEPS wird lediglich jeder MAC-Adresse eines im WLAN zugelassenen Clients eine eigene
Passphrase zugeordnet. Dazu wird der MAC-Filter positiv eingestellt, d. h., die Daten von den hier eingetragenen
WLAN-Clients werden übertragen.
5
Verwenden Sie als Passphrase zufällige Zeichenketten von mindestens 32 Zeichen Länge.
Die client-spezifische Passphrase ist in der Benutzertabelle des RADIUS-Servers gespeichert. Somit kann auch ein
LAN-gebundenes Gerät als zentraler RADIUS-Server dienen und die Vorteile von LEPS nutzen.
18.10.5 RADIUS-Forwarding
Bei den „mehrschichtigen" EAP-Protokollen wie TTLS oder PEAP kann die eigentliche „innere" Authentifizierung auf
einem separaten RADIUS-Server erfolgen. Das ermöglicht z. B. die Weiterverwendung eines existierenden RADIUS-Servers,
der nur die Benutzertabellen bereitstellt, selbst aber nicht EAP(/TLS)-fähig ist. Der TLS/TTLS/PEAP-Tunnel wird in diesem
Fall vom LCOS-RADIUS-Server verwaltet.
Die Konfiguration von solchen mehrschichtigen Protokollen ist Teil einer allgemeinen Methode zur Weiterleitung von
RADIUS-Anfragen, mit der ein LCOS-RADIUS-Servers auch als RADIUS-Proxy verwendet werden kann. Die Weiterleitung
von Anfragen bzw. die Proxy-Funktion basieren auf dem Konzept der „Realms". Ein Realm ist eine Zeichenkette, welche
die Gültigkeit einer Reihe von Benutzerkonten definiert. Sofern es definiert ist, wird der Realm über ein @-Zeichen getrennt
an den Benutzernamen angehängt in der Form: Das Gerät betrachtet die folgenden Bestandteile eines Benutzernamens
als Realm:
benutzer@realm
user@company.com
company.com bildet den Realm und ist durch ein @-Zeichen vom Benutzernamen getrennt.
company\user
company bildet den Realm und ist durch einen Backslash („\") vom Benutzernamen getrennt. Diese
Authentifizierung ist z. B. bei einem Windows-Login gebräuchlich.
host/user.company.com
Beginnt der Benutzername mit dem String host/ und enthält der restliche Name mindestens einen Punkt,
dann betrachtet das Gerät alles hinter dem ersten Punkt als Realm (in diesem Fall also company.com).
Der Realm kann als Hinweis auf den RADIUS-Server verstanden werden, auf dem das Benutzerkonto verwaltet wird. Vor
dem Durchsuchen der Benutzertabelle auf dem RADIUS-Server wird der Realm wieder entfernt. Mit der Nutzung von
Realms können ganze Netzwerke, die untereinander als vertrauenswürdig gelten, die RADIUS-Server in den Partner-Netzen
nutzen und so auch zwischen den Netzen wechselnde Benutzer authentifizieren. Der LCOS-RADIUS-Server speichert die
Referenzhandbuch
18 Weitere Dienste
1277
Werbung
Inhaltsverzeichnis
