In dieser Lektion wird beschrieben, wie Sie die RADIUS-Serverfunktion für einen Open BAT oder einen WLC konfigurieren und Benutzerkonten einrichten.
Für eine vollständige 802.1x-Umgebung (Supplicant - Authenticator - Server) müssen Sie möglicherweise auch die folgenden Lektionen lesen:
Umgebung ohne Controller:
- How to configure an Open BAT as 802.1x supplicant
- How to configure an Open BAT as 802.1x authenticator
Umgebung mit Controller zur Verwaltung der APs:
- How to configure an Open BAT as 802.1x supplicant
- How to create a profile on a WLC and apply it on BAT Acces points
- How to configure a Radius Profile on the WLC and include it in Logical settings
Diese Lektionen ergänzen sich und verwenden die folgenden Einstellungen für die Radiusauthentifizierung: EAP - PEAP mit MSCHAPv2 als Tunnelmethode.
Darstellung
Ein WLC oder ein Open BAT kann als RADIUS-Server verwendet werden.
Die Menüs auf beiden sind identisch, jedoch ist bei Verwendung eines BAT der manuelle Upload eines Zertifikats erforderlich (Schritt in diesem Dokument beschrieben).
Vorbereitende Schritte
Geben Sie dem BAT eine IP-Adresse (in unserem Beispiel: 192.168.1.150).
Siehe auch Lektion "So geben Sie einer Open BAT oder einem WLC eine IP-Adresse"
Fügen Sie den BAT in LANconfig hinzu
Siehe auch Lektion "So finden Sie eine BAT oder einen WLC in LANconfig"
Laden Sie ein Zertifikat auf den Server hoch (wenn Sie einen BAT als RADIUS-Server verwenden).
Dieser Schritt ist nicht erforderlich, wenn Sie einen Controller (WLC) als RADIUS-Server verwenden, da der Controller seine eigenen Zertifikate erstellen kann.
Wenn Sie jedoch einen BAT verwenden, müssen Sie dies manuell tun. Sie benötigen ein Zertifikat (PFX- oder P12-Dateien, diese Dateien enthalten einen privaten Schlüssel und das zugehörige Zertifikat).
Sie können die angehängte Datei zu Testzwecke verwenden
SSL-Zertifikate
(Passwort für die Zertifikate: hirschmann)
Dann klicken Sie in LAN-Config mit der rechten Maustaste auf den BAT, der als RADIUS-Server verwendet werden soll.
Configuration Management > Upload certificate or File ...
Wählen Sie die zu verwendende PFX- oder P12-Datei aus und wählen Sie als Zertifikattyp "EAP / TLS - Container als PKCS # 12-Datei" (normalerweise durch ein Kennwort geschützt).
> Open
Die Datei wird auf den BAT hochgeladen
Der Gerätestatus muss nach dem Hochladen "OK" sein
Allgemeine Einstellungen
Configuration > RADIUS Server > General
Konfigurieren Sie den Authentication Port: 1812
Konfigurieren Sie die Liste der RADIUS-Clients (IP Adresse Authenticator und Shared Secret)
Wählen Sie im Dialogfeld "General" IPv4-Clients aus
Erstellen Sie einen neuen Eintrag.
Der neue Eintrag kann ein einzelnes Gerät sein (in unserem Beispiel ist dies nur das Gerät 192.168.1.140), es kann sich jedoch auch um eine Reihe von Geräten handeln (der Bereich wird durch die Netzmaske definiert).
Das Shared Secret wird auch auf dem Authenticator konfiguriert (siehe Lektion "So konfigurieren Sie eine Open BAT als 802.1x-Authenticator").
> OK
Benutzerkonten einrichten
Wählen Sie im Dialogfeld "General" die Option "User Table" aus.
Erstellen Sie für jeden Benutzer einen neuen Eintrag.
In unserem Fall verwenden wir nur einen Benutzer: laurent
Zur Eingabe des Benutzernamens und eines Passworts, in unserem Fall: lolothebest
Der Name und das Kennwort werden vom Supplicant verwendet (siehe Lektion "So konfigurieren Sie einen Open BAT als 802.1x-Supplicant").
> OK
Nach dem Laden der Konfiguration ist Ihr Gerät bereits als RADIUS-Server konfiguriert
Überprüfen Sie den Status des NAS (Network Access Server oder Authenticator).
Sie können es über die Weboberfläche überprüfen
HiLCOS-Menübaum> Status> TCP-IP> RADIUS-Server> Access Control
Überprüfen Sie die Authentifizierung der Clients
Das Ergebnis der Authentifizierungsversuche finden Sie in derLog-Tabelle, das über das Webinterface verfügbar ist unter:
HiLCOS-Menübaum> Status> TCP-IP> RADIUS-Server> Log-Tabelle.
Weitere Informationen können verfügbar sein, wenn Sie RADIUS Accounting verwenden (in dieser Lektion nicht beschrieben).
Deutsch