Beschreibung:
In diesem Artikel wird beschrieben, wie auf einem LANCOM Router oder Access Point mit LCOS eine Zugriffs-Verwaltung per RADIUS (802.1x) realisiert werden kann. Dadurch ist es möglich Zugangs-Daten für Benutzer zentral zu administrieren.
Voraussetzungen:
- LANCOM Router / Access Point mit LCOS als RADIUS-Client
- LANCOM Router / Access Point mit LCOS als RADIUS Server
- LCOS ab Version 9.24 (download aktuelle Version)
- LANtools ab Version 9.24 (download aktuelle Version)
Vorgehensweise:
1. Konfiguration der RADIUS-Authentifizierung auf dem Router oder Access Point:
1.1 Verbinden Sie sich per LANconfig mit dem Router / Access Point, für den die zentrale Zugriffs-Verwaltung eingerichtet werden soll, wechseln in das Menü Management → Authentifizierung und passen die folgenden Parameter an:
- Authentifizierung via: Wählen Sie im Dropdownmenü die Option RADIUS aus.
- Zugriffsrechte via: Wählen Sie im Dropdownmenü die Option Shell-Privilege Attribut aus.
1.2 Wechseln Sie in das Menü RADIUS-Server.
1.3 Erstellen Sie einen neuen Eintrag und passen die folgenden Parameter an:
- Profil-Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel RADIUS).
- Server-Adresse: Tragen Sie die IP-Adresse des RADIUS-Servers ein (in diesem Beispiel ein LANCOM Router mit der IP-Adresse 192.168.1.254).
- Schlüssel (Secret): Tragen Sie ein Passwort ein, welches der Router / Access Point zur Authentifizierung am RADIUS-Server verwendet (siehe Schritt 2.5).
1.4 Die Konfigurationsschritte auf dem Router / Access Point sind damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.
2. Konfiguration des RADIUS-Servers auf einem LANCOM Router oder Access Point:
2.1 Öffnen Sie die Konfiguration des Routers / Access Points, welcher als RADIUS-Server fungiert, in LANconfig. Wechseln Sie anschließend in das Menü RADIUS → Server und setzen den Haken bei RADIUS-Authentisierung aktiv.
2.2 Wechseln Sie in das Menü RADIUS-Dienste Ports.
2.3 Stellen Sie sicher, dass bei Authentifizierungs-Port der Port 1812 hinterlegt.
2.4 Wechseln Sie in das Menü IPv4-Clients.
2.5 Erstellen Sie einen neuen Eintrag und passen die folgenden Parameter an:
- IP-Adresse: Tragen Sie die IP-Adresse des zu authentifizierenden Routers / Access Points ein.
- Netzmaske: Tragen Sie die Netzmaske 255.255.255.255 ein. Diese steht für eine einzelne IP-Adresse.
- Client-Secret: Tragen Sie den in Schritt 1.3 vergebenen Schlüssel ein. Dieses wird für die Authentifizierung des Routers / Access Points am RADIUS-Server verwendet.
2.6 Wechseln Sie in das Menü Benutzerkonten.
2.7 Erstellen Sie einen neuen Eintrag und passen die folgenden Parameter an:
- Name / MAC-Adresse: Geben Sie einen Benutzer-Namen an, mit dem der Benutzer auf den Router / Access Point zugreifen soll.
- Passwort: Geben Sie ein Passwort an, mit dem der Benutzer auf den Router / Access Point zugreifen soll.
- Shell-Privileg-Stufe: Setzen Sie den Wert auf 15, damit der Benutzer Schreibrechte für alle Funktions-Gruppen erhält.
- Ablauf-Art: Wählen Sie im Dropdown-Menü Niemals aus, damit der Eintrag dauerhaft gültig bleibt.
Das LCOS unterstützt 7 verschiedene Berechtigungen, welche als Shell-Privileg-Stufe gesetzt werden können.
| Attribut | Zugriffsrechte | Anmerkungen |
|---|---|---|
| 1 | User, nur lesen | Nur Zugriff per Konsole und WEBconfig auf den Status-Baum |
| 3 | User, nur schreiben | Nur Zugriff per Konsole und WEBconfig auf den Status-Baum, zusätzlich können Status-Tabellen zurückgesetzt werden |
| 5 | Admin, nur lesen, keine Trace-Rechte | Lese-Zugriff per Konsole und WEBconfig (inklusive Konfiguration / Setup-Baum) |
| 7 | Admin, lesen und schreiben, keine Trace-Rechte | Lese- und Schreib-Zugriff per Konsole und WEBconfig (inklusive Konfiguration / Setup-Baum) |
| 9 | Admin, nur lesen | Lese-Zugriff per Konsole und WEBconfig (inklusive Konfiguration / Setup-Baum) |
| 11 | Admin, lesen und schreiben | Lese- und Schreib-Zugriff per Konsole und WEBconfig (inklusive Konfiguration / Setup-Baum) |
| 15 | Supervisor | Alle Zugriffsrechte inklusive Zugriff per LANconfig |
2.8 Die Konfigurationsschritte auf dem Router / Access Point, welcher als RADIUS-Server fungiert, sind damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.
