Über Radius In Die Lcos-Verwaltungsoberfläche Einloggen - Lancom Systems LCOS 9.10 Referenzhandbuch

Referenzhandbuch
18 Weitere Dienste
Realm als Verweis auf den Eintrag in der Tabelle der Weiterleitungs-Server, der für getunnelte TTLS bzw. PEAP-Anfragen
verwendet werden soll.
1
TLS-Pruefe-Benutzernamen
Bei TLS authentifiziert sich der Client alleine über sein Zertifikat. Ist diese Option aktiviert, so prüft der RADIUS-Server
zusätzlich, ob der im Zertifikat hinterlegte Benutzername in der RADIUS-Benutzertabelle enthalten ist.
18.10.8 Über RADIUS in die LCOS-Verwaltungsoberfläche einloggen
Aktuell existieren drei Methoden, sich in die Verwaltungsoberfläche des Geräts einzuloggen:
1 intern: Das Gerät übernimmt die komplette Benutzerverwaltung mit Anmeldename, Passwort sowie Zugriffs- und
Funktionsrechte-Zuordnung.
1 TACACS+: Die Benutzerverwaltung erfolgt über einen TACACS+-Server im Netzwerk.
1
RADIUS: Die Benutzerverwaltung erfolgt über einen RADIUS-Server im Netzwerk.
Mit RADIUS kann sich der Benutzer über die folgenden Verbindungen einloggen:
1 Telnet
1
SSH
1 WEBconfig
1
TFTP
1
Outband
5
Eine RADIUS-Authentifizierung über SNMP ist derzeit nicht unterstützt.
5
Eine RADIUS-Authentifizierung über LL2M (LANCOM Layer 2 Management Protokoll) ist nicht unterstützt, da
LL2M Klartext-Zugriff auf das im Gerät gespeicherte Passwort benötigt.
Der RADIUS-Server übernimmt die Verwaltung der Benutzer in den Bereichen Authentifizierung, Authorisierung und
Accounting (Triple-A-Protokoll), was bei umfangreichen Netzwerk-Installationen mit mehreren Routern die Verwaltung
von Admin-Zugängen stark vereinfacht.
Die Anmeldung über einen RADIUS-Server läuft wie folgt ab:
1. Bei der Anmeldung sendet das Gerät die eingegebenen Anmeldedaten des Benutzers an den RADIUS-Server im Netz.
Die Server-Daten sind dazu im Gerät gespeichert.
2. Der Server prüft die Anmeldedaten auf Gültigkeit.
3. Bei ungültigen Daten sendet er dem Gerät eine entsprechende Nachricht, und das Gerät bricht den Anmeldevorgang
mit einer Fehlernachricht ab.
4. Bei gültigen Anmeldedaten sendet der Server dem Gerät mit der Zugangserlaubnis auch die Zugriffs- und
Funktionsrechte, so dass der Anwender nur auf die entsprechend freigeschalteten Funktionen und Verzeichnisse
zugreifen kann.
5. Falls die Sitzungen des Anwenders durch den RADIUS-Server budgetiert sind (Bereich Accounting), speichert das
Gerät die Sitzungsdaten wie Start, Ende, Benutzername, Authentifizierungsmodus und, wenn vorhanden, den genutzen
Port.
18.11 RADSEC
RADIUS hat sich als Standard für serverbasierte Authentifizierung, Autorisierung und Abrechnung etabliert. Mittlerweile
wird RADIUS z. B. im Zusammenspiel mit EAP/802.1x in Anwendungen eingesetzt, für die es ursprünglich nicht entwickelt
wurde, und weist daher einige Mängel auf:
1282