Aktuell können sich Benutzer über RADIUS, TACACS+ oder die interne Benutzerverwaltung des Gerätes in die Verwaltungsoberfläche eines Gerätes einloggen. Mit RADIUS ist das für folgende Protokolle möglich:
- Telnet
- SSH
- WEBconfig
- TFTP
- Outband
Anmerkung: Eine RADIUS-Authentifizierung über SNMP ist derzeit nicht unterstützt.
Anmerkung: Eine RADIUS-Authentifizierung über LL2M (LANCOM Layer 2 Management Protokoll) ist nicht unterstützt, da LL2M Klartext-Zugriff auf das im Gerät gespeicherte Passwort benötigt.
Der RADIUS-Server übernimmt die Verwaltung der Benutzer in den Bereichen Authentifizierung, Autorisierung und Accounting (Triple-A-Protokoll), was bei umfangreichen Netz-Installationen mit mehreren Routern die Verwaltung von Admin-Zugängen stark vereinfacht.
Die Anmeldung über einen RADIUS-Server läuft wie folgt ab:
- Bei der Anmeldung sendet das Gerät die eingegebenen Anmeldedaten des Benutzers an den RADIUS-Server im Netz. Die Server-Daten sind dazu im Gerät gespeichert.
- Der Server prüft die Anmeldedaten auf Gültigkeit.
- Bei ungültigen Daten sendet er dem Gerät eine entsprechende Nachricht, und das Gerät bricht den Anmeldevorgang mit einer Fehlernachricht ab.
- Bei gültigen Anmeldedaten sendet der Server dem Gerät mit der Zugangserlaubnis auch die Zugriffs- und Funktionsrechte, so dass der Anwender nur auf die entsprechend freigeschalteten Funktionen und Verzeichnisse zugreifen kann.
- Falls die Sitzungen des Anwenders durch den RADIUS-Server budgetiert sind (Bereich Accounting), speichert das Gerät die Sitzungsdaten wie Start, Ende, Benutzername, Authentifizierungsmodus und – wenn vorhanden – den genutzten Port.
Im LANconfig können Sie die Authentifizierungsmethode unter festlegen.
Geräte-Login Authentifizierung
Im Abschnitt Geräte-Login Authentifizierung wählen Sie die Methode aus, über die sich Benutzer beim Zugriff auf die Verwaltungsoberfläche des Gerätes authentifizieren sollen:
- Interne Administratoren-Tabelle: Das Gerät übernimmt die komplette Benutzerverwaltung mit Anmeldename, Passwort sowie Zugriffs- und Funktionsrechte-Zuordnung.
- RADIUS: Die Benutzerverwaltung erfolgt über einen RADIUS-Server im Netz.
- TACACS+: Die Benutzerverwaltung erfolgt über einen TACACS+-Server im Netz.
RADIUS-Authentifizierung
Im Abschnitt RADIUS-Authentifizierung geben Sie die notwendigen RADIUS-Server-Daten sowie zusätzliche Verwaltungsdaten an.
- Zugriffssrechte via
-
Im RADIUS-Server ist die Autorisierung der Anwender gespeichert. Bei einer Anfrage sendet der RADIUS-Server die Zugriffs- und Funktionsrechte zusammen mit den Login-Daten an das Gerät, das daraufhin den Anwender mit entsprechenden Rechten einloggt.
Normalerweise sind Zugriffsrechte im RADIUS Management-Privilege-Level (Attribut 136) festgelegt, sodass das Gerät den übertragenen Wert nur auf die internen Zugriffsrechte zu mappen braucht. Es kann jedoch auch sein, dass der RADIUS-Server zusätzlich Funktionsrechte übertragen soll oder das Attribut 136 bereits anderweitig bzw. andere, hersteller-spezifische Attribute für die Autorisierung verwendet. In diesem Fall kann das Gerät auch eine herstellerabhängige Autorisierung auswerten.
- Anbieterspezifisches Attribut: Das Gerät wertet das anbieterspezifische Attribut aus.
- Management-Privilege-Level-Attribut: Das Gerät wertet das Management-Privilege-Level-Attribut des RADIUS-Servers aus.
- Shell-Privilege Attribut: Das Gerät wertet das Shell-Privilege Attribut des RADIUS-Servers aus.
- Accounting
-
Hier bestimmen Sie, ob das Gerät die Sitzung des Anwenders aufzeichnet.
- Nein: Das Gerät zeichnet die Sitzung nicht auf.
- Ja: Das Gerät zeichnet die Sitzung auf (Start, Ende, Benutzername, Authentifizierungsmodus, Port).
- RADIUS-Server
-
In dieser Tabelle können Sie die Einstellungen für den RADIUS-Server vornehmen
- Profil-Name: Vergeben Sie hier einen Namen für den RADIUS-Server.
- Backup-Profil: Geben Sie den Namen des alternativen RADIUS-Servers an, an den das Gerät Anfragen weiterleitet, wenn der erste RADIUS-Server nicht erreichbar ist.Anmerkung: Für den Backup-Server müssen Sie einen weiteren Eintrag in der Server-Tabelle vornehmen.
- Server-Adresse: Vergeben Sie hier die IPv4-Adresse des RADIUS-Servers.
- Port: Geben Sie hier den Port an, über den der RADIUS-Server mit dem Gerät kommuniziert.
- Shared Secret: Geben Sie hier das Kennwort für den Zugang zum RADIUS-Server an und wiederholen Sie es im zweiten Eingabefeld.
- Absende-Adresse: Hier können Sie optional eine Absende-Adresse festlegen, die das Gerät statt der ansonsten automatisch für die Zieladresse gewählten Absende-Adresse verwendet.
- Protokoll: Geben Sie hier das Protokoll an, mit dem der RADIUS-Server mit dem Gerät kommuniziert.
- Kategorie: Bestimmen Sie, für welche Kategorie der RADIUS-Server gelten soll.