Einwahl über PPP und RADIUS

Bei der Einwahl über das PPP-Protokoll (Point-to-Point-Protocol) kann die Zugangsberechtigung der Clients mittels RADIUS geprüft werden. Ein Client kann sich dabei von einem beliebigen Ort in das Netz einwählen. Die anschließende Datenübertragung zwischen dem Client und dem Authenticator wird verschlüsselt





Die Konfiguration erfolgt im LANconfig unter Kommunikation > RADIUS.

Radius-Server
Bei der Authentifizierung via RADIUS wird die Benutzerverwaltung und Authentifizierung von einem RADIUS-Server übernommen.
  • Deaktiviert: Die RADIUS-Funktion ist ausgeschaltet, es werden keine Anfragen an den RADIUS-Server weitergeleitet (Default).
  • Aktiviert: Die RADIUS-Funktion ist eingeschaltet, es können Anfragen an den konfigurierten RADIUS-Server weitergeleitet werden. Je nach Einstellung können auch andere Quelle für die Authentifizierung verwendet werden (z. B. PPP-Liste).
  • Exklusiv: Die RADIUS-Funktion ist eingeschaltet, die Authentifizierung wird ausschließlich über RADIUS durchgeführt.
Für die Nutzung der RADIUS-Funktion muss der entsprechende RADIUS-Server konfiguriert sein. Alle Benutzerangaben wie Benutzername und Passwort werden im RADIUS-Server eingetragen.
Protokolle
Als Protokolle kann zwischen dem UDP-basierten RADIUS und dem TCP-basierte RADSEC ausgewählt werden. Siehe auch RADSEC.
Adresse
Geben Sie hier die IP-Adresse (IPv4, IPv6) oder den Host-Namen des RADIUS-Servers an, mit dem Sie zentral die Benutzer verwalten.
Server Port
Geben Sie hier den Port an, über den Sie mit Ihrem RADIUS-Server kommunizieren (Default: 1.812).
Absende-Adresse
Das Gerät ermittelt automatisch die richtige Absende-IP-Adresse für das Zielnetzwerk. Wollen Sie stattdessen eine fest definierte Absende-IP-Adresse verwenden, tragen Sie diese symbolisch oder direkt hier ein.
Attributwerte
LCOS ermöglicht es, die RADIUS-Attribute für die Kommunikation mit einem RADIUS-Server (sowohl Authentication als auch Accounting) zu konfigurieren. Die Angabe der Attribute erfolgt als semikolon-separierte Liste von Attribut-Nummern oder -Namen und einem entsprechenden Wert in der folgenden Form: <Attribut_1>=<Wert_1>;<Attribut_2>=<Wert_2> Da die Anzahl der Zeichen begrenzt ist, lässt sich der Name abkürzen. Das Kürzel muss dabei eindeutig sein. Beispiele:
  • NAS-Port=1234 ist nicht erlaubt, da das Attribut nicht eindeutig ist (NAS-Port, NAS-Port-Id oder NAS-Port-Type).
  • NAS-Id=ABCD ist erlaubt, da das Attribut eindeutig ist (NAS-Identifier).
Als Attribut-Wert ist die Angabe von Namen oder RFC-konformen Nummern möglich. Für das Gerät sind die Angaben Service-Type=Framed und Service-Type=2 identisch. Die Angabe eines Wertes in Anführungszeichen ("<Wert>") ist möglich, um Sonderzeichen wie Leerzeichen, Semikolon oder Gleichheitszeichen mit angeben zu können. Das Anführungszeichen innerhalb des Wertes erhält einen umgekehrten Schrägstrich vorangestellt (\"), der umgekehrte Schrägstrich ebenfalls (\\). Als Werte sind auch die folgenden Variablen erlaubt:
%n
Gerätename
%e
Seriennummer des Gerätes
%%
Prozentzeichen
%{name}
Original-Name des Attributes, wie ihn die RADIUS-Anwendung überträgt. Damit lassen sich z. B. Attribute mit originalen RADIUS-Attributen belegen: Called-Station-Id=%{NAS-Identifier} setzt das Attribut Called-Station-Id auf den Wert, den das Attribut NAS-Identifier besitzt.
Schlüssel (Shared-Secret)
Geben Sie hier den Schlüssel an, mit dem die Kodierung der Daten vorgenommen werden soll. Der Schlüssel muss ebenfalls im RADIUS-Server konfiguriert sein.
PPP-Arbeitsweise
Bei der Einwahl über PPP kann ein RADIUS-Server zur Authentifizierung genutzt werden.
  • Deaktiviert: PPP-Clients werden nicht über RADIUS authentifiziert, sie werden ausschließlich anhand der PPP-Liste geprüft (Default).
  • Aktiviert: Die RADIUS-Authentifizierung für PPP-Clients ist eingeschaltet. Die von den Clients gelieferten Benutzerdaten werden zuerst über die PPP-Liste geprüft. Ist in der PPP-Liste kein passender Eintrag vorhanden, dann wird der Client über den RADIUS-Server geprüft. Verläuft die Prüfung in PPP-Liste oder RADIUS-Server positiv, ist die Authentifizierung erfolgreich.
  • Exklusiv: Die RADIUS-Authentifizierung für PPP-Clients ist eingeschaltet. Die von den Clients gelieferten Benutzerdaten werden ausschließlich über den RADIUS-Server geprüft. In dieser Einstellung werden lediglich die erweiterten Einstellungen der PPP-Liste für den Benutzer ausgewertet (z. B. Prüfung nach PAP/CHAP bzw. die erlaubten Protokolle IP und / oder NetBIOS).
CLIP-Arbeitsweise
Bei der Einwahl über PPP kann zur Steuerung eines Rückrufs ein RADIUS-Server genutzt werden.
  • Deaktiviert: Die Rückruf-Funktion wird nicht über RADIUS gesteuert, es werden ausschließlich die Einträge der Namenliste verwendet (Default).
  • Aktiviert: Die RADIUS-Funktion für den Rückruf ist eingeschaltet. Die von den Clients gemeldete Rufnummer wird zuerst über die Namenliste geprüft. Ist in der Namenliste kein passender Eintrag vorhanden, dann wird die Rufnummer über den RADIUS-Server geprüft. Verläuft die Prüfung in Namenliste oder RADIUS-Server positiv, kann ein Rückruf aufgebaut werden.
    Anmerkung: Wenn die übermittelte Rufnummer in der Namenliste enthalten ist, dort aber kein Rückruf aktiv ist, erfolgt keine weitere Prüfung über RADIUS.
  • Exklusiv: Die RADIUS-Funktion für den Rückruf ist eingeschaltet. Die von den Clients gemeldete Rufnummer wird ausschließlich über den RADIUS-Server geprüft.
Zur Nutzung der Rückrufsteuerung über RADIUS muss im RADIUS-Server für jede zu authentifizierende Rufnummer ein Benutzer angelegt werden, dessen Name der Rufnummer entspricht, und der als Passwort das hier angegebene CLIP-Passwort hat.
CLIP-Passwort
Passwort für die Rückrufsteuerung.
Anmerkung: Die allgemeinen Werte für Wiederholung und Timeout müssen ebenfalls konfiguriert werden. Sie sind bei PPP auf der gleichen Seite wie die PPP-Parameter zu finden.

www.lancom-systems.de

LANCOM Systems GmbH | A Rohde & Schwarz Company | Adenauerstr. 20/B2 | 52146 Würselen | Deutschland | E‑Mail info@lancom.de

LANCOM Logo