Authentifizierung über RADIUS

Deshalb erfolgt die Konfiguration des RADIUS-Servers für die Authentifizierung des L2TP-Tunnels und der PPP-Benutzerdaten unabhängig voneinander.

Bei einer Tunnel-Authentifizierung über RADIUS konfigurieren Sie die Einstellungen im LANconfig unter Kommunikation > RADIUS im Abschnitt Tunnel-Authentifizierung über RADIUS für L2TP.

RADIUS-Server

Aktiviert bzw. deaktiviert den RADIUS-Server für die Authentifizierung des Tunnelendpunktes, unabhängig von einer Authentifizierung einer PPP-Session. Die folgende Auswahl ist möglich:

• Deaktiviert: Der RADIUS-Server ist nicht aktiv für die Authentifizierung eines Tunnelendpunktes.
• Aktiviert: Der RADIUS-Server übernimmt die Authentifizierung eines Tunnelendpunktes.
• Exklusiv: Aktiviert die Nutzung des externen RADIUS-Servers als ausschließliche Möglichkeit für die Authentifizierung von PPP-Gegenstellen. Die PPP-Liste wird nicht berücksichtigt.

Protokolle

Protokoll für die Kommunikation zwischen dem internen RADIUS-Server und dem Tunnelendpunkt.

Adresse

IP-Adresse oder DNS-Name des RADIUS-Servers.

Port

Port des RADIUS-Servers

Absende-Adresse

Optionale Absende-Adresse des Gerätes. Falls Sie z. B. Loopback-Adressen konfiguriert haben, ist deren Eingabe hier ebenfalls möglich. Folgende Eingabeformate sind erlaubt:

• Name des IP-Netzwerkes (ARF-Netz), dessen Adresse stattdessen zu verwenden ist
• "INT" für die Adresse des ersten Intranets
• "DMZ" für die Adresse der ersten DMZ
• LB0 bis LBF für die 16 Loopback-Adressen
• Beliebige gültige IP-Adresse

Attributwerte

LCOS ermöglicht es, die RADIUS-Attribute für die Kommunikation mit einem RADIUS-Server (sowohl Authentication als auch Accounting) zu konfigurieren. Die Angabe der Attribute erfolgt als semikolon-separierte Liste von Attribut-Nummern oder -Namen und einem entsprechenden Wert in der folgenden Form: <Attribut_1>=<Wert_1>;<Attribut_2>=<Wert_2> Da die Anzahl der Zeichen begrenzt ist, lässt sich der Name abkürzen. Das Kürzel muss dabei eindeutig sein. Beispiele:

• NAS-Port=1234 ist nicht erlaubt, da das Attribut nicht eindeutig ist (NAS-Port, NAS-Port-Id oder NAS-Port-Type).
• NAS-Id=ABCD ist erlaubt, da das Attribut eindeutig ist (NAS-Identifier).

Als Attribut-Wert ist die Angabe von Namen oder RFC-konformen Nummern möglich. Für das Gerät sind die Angaben Service-Type=Framed und Service-Type=2 identisch. Die Angabe eines Wertes in Anführungszeichen ("<Wert>") ist möglich, um Sonderzeichen wie Leerzeichen, Semikolon oder Gleichheitszeichen mit angeben zu können. Das Anführungszeichen erhält einen umgekehrten Schrägstrich vorangestellt (\"), der umgekehrte Schrägstrich ebenfalls (\\). Als Werte sind auch die folgenden Variablen erlaubt:

%n

Gerätename

%e

Seriennummer des Gerätes

%%

Prozentzeichen

%{name}

Original-Name des Attributes, wie ihn die RADIUS-Anwendung überträgt. Damit lassen sich z. B. Attribute mit originalen RADIUS-Attributen belegen: Called-Station-Id=%{NAS-Identifier} setzt das Attribut Called-Station-Id auf den Wert, den das Attribut NAS-Identifier besitzt.

Schlüssel (Secret)

Shared-Secret zwischen dem RADIUS-Server und dem Gerät

Passwort

Dummy-Passwort für die Tunnel-Authentifizierung

Trifft von einem entfernten Host eine L2TP-Tunnelanfrage ein (Start Control Connection Request), schickt das Gerät eine Anfrage an den für L2TP aktivierten RADIUS-Server. Diese Anfrage enthält u. a. den Namen des Hostes, das Dummy-Passwort, die IP-Adresse des Gerätes sowie den Service-Typ "Outbound-User". Der RADIUS-Server authentifiziert den Host und schickt ein "RADIUS-Accept" an das Gerät zusammen mit dem zu verwendenden Tunnel-Passwort, dem Tunnel-Typ "L2TP" mit dem Tag "0" sowie der Tunnel-Client-Auth-ID, die dem zuvor vom Gerät übermittelten Stationsnamen entsprechen muss. Das Gerät prüft diese Daten und übernimmt bei positivem Ergebnis das Tunnel-Passwort, um den einwählenden Client zu authentifizieren und ggf. die L2TP-Tunnelaushandlung zu verschleiern.