IKEv2 mit LANconfig konfigurieren / Erweiterte Einstellungen
Übergeordnetes Thema: Erweiterte Einstellungen

RADIUS-Authentifizierung

Im Abschnitt RADIUS-Authentifizierung konfigurieren Sie die Einstellungen der RADIUS-Server zur Autorisierung von VPN-Clients.

Bestimmen Sie im Feld Passwort das Passwort, das der RADIUS-Server im Access-Request-Attribut als Benutzer-Passwort erhält.

Der RADIUS-Server ordnet dieses Passwort normalerweise direkt einem VPN-Peer zu, um diesen für den Netzwerkzugang zu autorisieren. Bei IKEv2 autorisiert jedoch nicht der RADIUS-Server den anfragenden VPN-Peer, sondern das LANCOM Gateway, nachdem es die entsprechende Autorisierung in der Access-Accept-Nachricht des RADIUS-Servers erhalten hat.

Entsprechend geben Sie an dieser Stelle ein Dummy-Passwort ein.

Mit einem Klick auf RADIUS-Server öffnet sich der Dialog zur Konfiguration des RADIUS-Servers.





Name
Geben Sie eine Bezeichnung für diesen Eintrag ein.
Server-Adresse
Geben Sie den Hostnamen für den RADIUS-Server an (IPv4-, IPv6- oder DNS-Adresse).
Port
Geben Sie den UDP-Port des RADIUS-Servers an. Der Wert "1812" ist als Standardwert voreingestellt.
Schlüssel (Secret)
Dieser Eintrag enthält den Schlüssel (Shared Secret) zur Autorisierung des LANCOM-Gateways am RADIUS-Server.
Anmerkung: Bestätigen Sie den angegebenen Schlüssel durch eine erneute Eingabe im darauf folgenden Feld.
Protokolle
Wählen Sie aus dem Drop-Down-Menü zwischen dem normalen RADIUS-Protokoll und dem sicheren RADSEC-Protokoll für die RADIUS-Anfrage.
Absende-Adresse (opt.)
Geben Sie hier ggf. die Loopback-Adresse des Gerätes an.
Attributwerte
LCOS ermöglicht es, die RADIUS-Attribute für die Kommunikation mit einem RADIUS-Server (sowohl Authentication als auch Accounting) zu konfigurieren. Die Angabe der Attribute erfolgt als semikolon-separierte Liste von Attribut-Nummern oder -Namen und einem entsprechenden Wert in der folgenden Form: <Attribut_1>=<Wert_1>;<Attribut_2>=<Wert_2> Da die Anzahl der Zeichen begrenzt ist, lässt sich der Name abkürzen. Das Kürzel muss dabei eindeutig sein. Beispiele:
  • NAS-Port=1234 ist nicht erlaubt, da das Attribut nicht eindeutig ist (NAS-Port, NAS-Port-Id oder NAS-Port-Type).
  • NAS-Id=ABCD ist erlaubt, da das Attribut eindeutig ist (NAS-Identifier).
Als Attribut-Wert ist die Angabe von Namen oder RFC-konformen Nummern möglich. Für das Gerät sind die Angaben Service-Type=Framed und Service-Type=2 identisch. Die Angabe eines Wertes in Anführungszeichen ("<Wert>") ist möglich, um Sonderzeichen wie Leerzeichen, Semikolon oder Gleichheitszeichen mit angeben zu können. Das Anführungszeichen erhält einen umgekehrten Schrägstrich vorangestellt (\"), der umgekehrte Schrägstrich ebenfalls (\\). Als Werte sind auch die folgenden Variablen erlaubt:
%n
Gerätename
%e
Seriennummer des Gerätes
%%
Prozentzeichen
%{name}
Original-Name des Attributes, wie ihn die RADIUS-Anwendung überträgt. Damit lassen sich z. B. Attribute mit originalen RADIUS-Attributen belegen: Called-Station-Id=%{NAS-Identifier} setzt das Attribut Called-Station-Id auf den Wert, den das Attribut NAS-Identifier besitzt.
Backup-Profil
Wählen Sie aus der Liste der RADIUS-Server-Profile ein Profil als Backup-Server.
CoA aktiv
Hier aktivieren bzw. deaktivieren Sie CoA. Als CoA-Nachricht wird die Disconnect-Nachricht unterstützt, um einen verbundenen VPN-Benutzer bzw. eine VPN-Gegenstelle zu trennen. Die CoA-Disconnect-Nachricht muss den Benutzernamen als RADIUS Attribut "User-Name" sowie das Attribut "NAS-IP-Adresse" enthalten. Um die Funktion zu aktivieren muss zusätzlich Dynamische Autorisierung global aktiviert werden und ein CoA-Client-Zugriff konfiguriert werden.
Anmerkung: Die Auswahl der hier konfigurierten RADIUS-Server erfolgt in der Verbindungsliste unter VPN > IKEv2/IPSec > Verbindungs-Liste im Feld RADIUS-Auth.-Server.
Übergeordnetes Thema: Erweiterte Einstellungen

www.lancom-systems.de

LANCOM Systems GmbH | A Rohde & Schwarz Company | Adenauerstr. 20/B2 | 52146 Würselen | Deutschland | E‑Mail info@lancom.de

LANCOM Logo