WLAN und RADIUS

RADIUS wird für Nutzerauthentifizierung und Abrechnung verwendet. Näheres zu diesem Protokoll finden Sie im Kapitel RADIUS.

Bei der Verwendung eines RADIUS-Servers zur Authentifizierung von WLAN-Clients prüft der RADIUS-Server die Berechtigungen der Clients über die MAC-Adresse.

Anmerkung: Zur Nutzung der RADIUS-Funktion für WLAN-Clients muss im Bereich LEPS-MAC die Arbeitsweise der Filter auf die Option "Daten von den aufgeführten Stationen übertragen, alle anderen über RADIUS authentifizieren oder ausfiltern" ausgewählt sein.

Die Konfiguration erfolgt im LANconfig unter Wireless-LAN > Stationen/LEPS Konfigurieren Sie hier die RADIUS-Server Einstellungen sowie die Einstellungen für einen RADIUS-Backupserver.

Server Adresse

Geben Sie hier die IP-Adresse (IPv4, IPv6) oder den Host-Namen des RADIUS-Servers an, mit dem Sie zentral die Benutzer verwalten.

Server Port

Geben Sie hier den Port an, über den Sie mit Ihrem RADIUS-Server kommunizieren (Default: 1.812).

Attributwerte

LCOS ermöglicht es, die RADIUS-Attribute für die Kommunikation mit einem RADIUS-Server (sowohl Authentication als auch Accounting) zu konfigurieren. Die Angabe der Attribute erfolgt als semikolon-separierte Liste von Attribut-Nummern oder -Namen und einem entsprechenden Wert in der folgenden Form: <Attribut_1>=<Wert_1>;<Attribut_2>=<Wert_2> Da die Anzahl der Zeichen begrenzt ist, lässt sich der Name abkürzen. Das Kürzel muss dabei eindeutig sein. Beispiele:

NAS-Port=1234 ist nicht erlaubt, da das Attribut nicht eindeutig ist (NAS-Port, NAS-Port-Id oder NAS-Port-Type).
NAS-Id=ABCD ist erlaubt, da das Attribut eindeutig ist (NAS-Identifier).

Als Attribut-Wert ist die Angabe von Namen oder RFC-konformen Nummern möglich. Für das Gerät sind die Angaben Service-Type=Framed und Service-Type=2 identisch. Die Angabe eines Wertes in Anführungszeichen ("<Wert>") ist möglich, um Sonderzeichen wie Leerzeichen, Semikolon oder Gleichheitszeichen mit angeben zu können. Das Anführungszeichen innerhalb des Wertes erhält einen umgekehrten Schrägstrich vorangestellt (\"), der umgekehrte Schrägstrich ebenfalls (\\). Als Werte sind auch die folgenden Variablen erlaubt:

%n: Gerätename
%e: Seriennummer des Gerätes
%%: Prozentzeichen
%{name}: Original-Name des Attributes, wie ihn die RADIUS-Anwendung überträgt. Damit lassen sich z. B. Attribute mit originalen RADIUS-Attributen belegen: Called-Station-Id=%{NAS-Identifier} setzt das Attribut Called-Station-Id auf den Wert, den das Attribut NAS-Identifier besitzt.

Schlüssel (Secret)

Geben Sie hier den Schlüssel an, mit dem die Kodierung der Daten vorgenommen werden soll. Der Schlüssel muss ebenfalls im RADIUS-Server konfiguriert sein.

Backup-Server Adresse

Geben Sie hier die IP-Adresse (IPv4, IPv6) oder den Host-Namen des Backup-RADIUS-Servers an, mit dem Sie zentral die Benutzer verwalten.

Backup-Server Port

Geben Sie hier den Port an, über den Sie mit Ihrem Backup-RADIUS-Server kommunizieren (Default: 1.812).

Absende-Adresse

Das Gerät ermittelt automatisch die richtige Absende-IP-Adresse für das Zielnetzwerk. Wollen Sie stattdessen eine fest definierte Absende-IP-Adresse verwenden, tragen Sie diese symbolisch oder direkt hier ein.

RADIUS-Server Passwort-Quelle

Stellen Sie ein, ob Sie als Passwort-Quelle für den RADIUS-Server einen Schlüssel (Secret) oder die MAC-Adresse verwenden wollen.

RADIUS-Accounting

Bei der Verwendung eines RADIUS-Servers zur Abrechnung muss dieser konfiguriert werden. Die Konfiguration erfolgt im LANconfig unter Wireless-LAN > Stationen/LEPS > RADIUS-Accounting. Konfigurieren Sie hier die die Einstellungen für einen RADIUS-Accounting-Server.

Profil-Name

Name des RADIUS-Servers, welcher das Accounting von WLAN-Clients durchführt. Sie verwenden den hier eingetragenen Namen, um aus anderen Tabellen auf den betreffenden Server zu referenzieren.

Backup-Profil

Name des RADIUS-Backup-Servers, welcher das Accounting von WLAN-Clients durchführt, falls der eigentliche Accounting-Server nicht verfügbar ist. Auf diese Weise lassen sich auch Backup-Server miteinander verketten, um mehrere Ausfall-Server festzulegen ("Backup-Chaining").

Server-Adresse

Geben Sie hier die IPv4- oder IPv6-Adresse oder den Host-Namen des RADIUS-Servers an, mit dem der RADIUS-Client das Accounting von WLAN-Clients durchführt.

Der RADIUS-Client erkennt automatisch, um welchen Adresstyp es sich handelt.
Die allgemeinen Werte für Wiederholung und Timeout müssen Sie im RADIUS-Bereich ebenfalls festlegen.

Port

Port zur Kommunikation mit dem RADIUS-Server beim Accounting (Default: 1.812).

Attributwerte

Hier können sie RADIUS-Attribute mit benutzerdefinierten Werten versehen. Die einzelnen Namen-Werte-Paare müssen der Form <Name>=<Wert> entsprechen und sind durch Semikola voneinander getrennt. <Name> identifiziert dabei das RADIUS-Attribut durch seinen Namen oder seine Nummer. Die zugehörigen Attributnamen finden Sie in den entsprechenden RADIUS RFCs. Attributsnamen können abgekürzt werden, solange die Bezeichner eindeutig sind. Attributswerte können in Anführungsstriche gesetzt werden, um Leerzeichen oder Semikola in Wert-Definitionen zu benutzen. Um Anführungsstriche selbst als Zeichen zu nutzen, muß ein Backslash vorangestellt werden. Der Backslash als Zeichen wird durch ein Doppel-Backslash verfügbar. Zusätzlich ist es möglich eine Reihe von Platzhalter einzusetzen:

%n – wird ersetzt durch den konfigurierten Gerätenamen.
%e – wird ersetzt mit der Seriennummer des Gerätes, wie man sie aus dem sysinfo des Gerätes kennt.
%% – wird ersetzt durch ein einzelnes %-Zeichen.
%{name} – wird ersetzt durch den ursprünglichen Wert des entsprechenden RADIUS-Attributes. Etwaige Neu / Um-Definitionen innerhalb dieser Attributsliste werden nicht beachtet! Der Bezeichner kann gekürzt werden, solange er eindeutig bleibt.

Mehr Informationen zu RADIUS-Attributen finden Sie unter RADIUS-Attribute.

Schlüssel (Secret)

Geben Sie hier den Schlüssel (Shared Secret) für den Zugang zum Accounting-Server an. Stellen Sie sicher, dass dieser Schlüssel im entsprechenden Accounting-Server übereinstimmend festgelegt ist.

Absende-Adresse

Hier können Sie optional eine Absendeadresse konfigurieren, die statt der ansonsten automatisch für die Zieladresse gewählten Absendeadresse verwendet wird. Falls Sie z. B. Loopback-Adressen konfiguriert haben, können Sie diese hier als Absendeadresse angeben. Als Adresse werden verschiedene Eingabeformen akzeptiert:

Name des IP-Netzwerks (ARF-Netz), dessen Adresse eingesetzt werden soll.
"INT" für die Adresse des ersten Intranets.
"DMZ" für die Adresse der ersten DMZ.
Wichtig: Wenn es eine Schnittstelle Namens "DMZ" gibt, dann wird deren Adresse genommen.
LB0 … LBF für eine der 16 Loopback-Adressen oder deren Name.
Desweiteren kann eine beliebige IPv4- oder IPv6-Adresse in der üblichen Form angegeben werden.

Wichtig: Sofern die hier eingestellte Absendeadresse eine Loopback-Adresse ist, wird diese auch auf maskiert arbeitenden Gegenstellen unmaskiert verwendet.

Protokoll

Wählen Sie das Protokoll aus. Entweder RADIUS oder RADSEC. Mehr Informationen zu RADSEC finden Sie unter RADSEC.

Accounting-Interim-Intervall: Die Accounting-Funktion im Gerät kann u. a. dazu genutzt werden, das Budget von angeschlossenen WLAN-Clients zu kontrollieren. Wireless Internet Service Provider (WISPs) nutzen diese Möglichkeit teilweise zur Abrechnung ihrer Kunden. Da die Abrechnungsintervalle üblicherweise zum Monatsende wechseln, kann über eine entsprechende Aktion der Neustart aller aktuellen Accounting-Sitzungen ausgelöst werden – die eigentliche WLAN-Verbindung bleibt dabei bestehen. Mit Hilfe eines Cron-Jobs kann dieser Neustart komfortabel automatisiert werden, indem dort die Funktion do /Setup/WLAN/RADIUS-Accounting/Neustart-Accounting aufgerufen wird.
Ausgeschlossenens VLAN: Geben Sie hier die ID des VLANs ein, welches das Gerät vom RADIUS-Accounting ausschließen soll. Der RADIUS-Server erhält dann keine Informationen über den Verkehr dieses VLANs.