Inhaltsverzeichnis
Werbung
Referenzhandbuch
18 Weitere Dienste
verbundenen RADIUS-Server mit Angabe des zugehörigen Realms in einer Weiterleitungs-Tabelle. Diese Tabelle wird
nach dem – in Verbindung mit dem Benutzernamen übermittelten – Realm durchsucht. Wenn keine Übereinstimmung
gefunden wird, wird die Anfrage mit einem Access Reject beantwortet. Ein leerer Realm wird als lokale Anfrage gewertet,
d. h. der LCOS-RADIUS-Server durchsucht seine eigenen Benutzer-Tabellen und erzeugt daraus die entsprechende Antwort.
Zur Unterstützung der Realm-Verarbeitung verwendet der LCOS-RADIUS-Server zwei spezielle Realms:
1
Default-Realm: Dieser Realm wird verwendet, wenn ein Realm übermittelt wird, für den kein expliziter
Forwarding-Server definiert ist. Für den Default-Realm selbst muss in der Weiterleitungs-Tabelle allerdings ein
entsprechender Eintrag angelegt werden.
1
Leer-Realm: Dieser Realm wird verwendet, wenn kein Realm, sondern nur der Benutzername übermittelt wird.
Im Default-Zustand enthält die Weiterleitungs-Tabelle keine Einträge, der Default- und der Leer-Realm sind leer. Das
bedeutet das alle Anfragen als lokale Anfragen behandelt werden und ggf. übermittelte Realms werden ignoriert. Um
den LCOS-RADIUS-Server als reinen Weiterleitungs-Server bzw. RADIUS-Proxy zu verwenden, müssen der Default- und
der Leer-Realm auf einen Wert gesetzt werden, für den in der Weiterleitungs-Tabelle ein entsprechender Server definiert
ist.
Bitte beachten Sie, dass die Weiterleitung von RADIUS-Anfragen den übermittelten Benutzernamen nicht verändert –
es wird weder ein Realm hinzugefügt, noch verändert oder abgeschnitten. Der Server, an den die Anfrage weitergeleitet
wird, muss nicht der letzte der Weiterleitungs-Kette sein, und er benötigt möglicherweise den Realm selbst für eine
korrekte Weiterleitung. Nur der RADIUS-Server, der letztlich die Anfrage bearbeitet, löst den Realm aus dem Benutzernamen
und durchsucht erst dann die Tabellen mit den Benutzerkonten. Dementsprechend löst der LCOS-RADIUS-Server den
Realm vom Benutzernamen, wenn die Anfragen lokal verarbeitet werden.
Zur Verarbeitung von getunnelten EAP-Anfragen im Zusammenhang mit TTLS und PEAP wird ein spezieller
EAP-Tunnel-Server verwendet – auch in Form eines Realms. Wählen Sie hier einen Realm, der nicht mit anderen
verwendeten Realms in Konflikt steht. Wenn kein EAP-Tunnel-Server angegeben ist, leitet der LCOS-RADIUS-Server
Anfragen an sich selbst weiter, was bedeutet, dass sowohl die innere als auch die äußere EAP-Authentifizierung vom
LCOS-RADIUS-Server selbst bearbeitet werden.
18.10.6 Separate RADIUS-Server pro SSID
Wenn Sie RADIUS zur zentralen Verwaltung von Konto- und Zugangsinformationen in Ihren WLANs einsetzen, übernimmt
standardmäßig der Access Point zentral das Weiterleiten der Anfragen für die Authorisierung und das Accounting an
den RADIUS-Server. Sofern Sie für die Verwaltung der Access Points einen WLAN-Controller einsetzen, kann auch der
WLAN-Controller die RADIUS-Anfragen von allen angeschlossenen Access Points an den entsprechenden RADIUS-Server
weiterleiten.
In manchen Anwendungsfällen möchte der Betreiber von Access Points oder WLAN-Controllern jedoch unterschiedliche
RADIUS-Server für einzelne logische WLANs (SSIDs) einsetzen. Das ist z. B. dann der Fall, wenn mehrere Kunden die
technische WLAN-Infrastruktur gemeinsam nutzen, dabei jedoch eigene Systeme zur Authentifizierung einsetzen (zum
Beispiel bei Wireless as a Service - WaaS).
In diesen Fällen haben Sie die Möglichkeit, für jedes logische WLAN (also jede SSID) ein separates RADIUS-Profil zu
wählen. Das RADIUS-Profil enthält alle notwendigen Angaben zur Nutzung der entsprechenden RADIUS-Server inklusive
der optionalen Backup-Lösung.
18.10.7 Parameter des RADIUS-Servers
Zur Konfiguration des RADIUS-Servers wird definiert, welche Clients auf den RADIUS-Server zugreifen dürfen (inklusive
Kennwort) und über welchen UDP-Port die Clients mit dem RADIUS-Server kommunizieren können. Der
Authentifizierungs-Port gilt dabei global für alle Clients.
Konfigurationstool
WEBconfig, Telnet
1278
Aufruf
LCOS-Menübaum > Setup > Radius > Server
Werbung
Inhaltsverzeichnis
