Beschreibung:
In diesem Artikel wird beschrieben, wie auf einem Switch der GS-3xxx Serie eine Zugriffs-Verwaltung per RADIUS (802.1x) realisiert werden kann. Dadurch ist es möglich Zugangs-Daten für Benutzer zentral zu administrieren.
Voraussetzungen:
- Switch der GS-3xxx Serie als RADIUS-Client
- LANCOM Router / Access Point mit LCOS als RADIUS Server
- LCOS ab Version 9.24 (download aktuelle Version)
- LCOS SX ab Version 4.00 (download aktuelle Version)
- LANtools ab Version 9.24 (download aktuelle Version)
- Beliebiger Web-Browser für den Zugriff auf das Webinterface des Switches
Vorgehensweise:
1. Konfiguration der RADIUS-Authentifizierung auf dem Switch:
1.1 Verbinden Sie sich per Webinterface mit dem Switch, wechseln in das Menü Security → RADIUS → Configuration und klicken auf Add New Server.
1.2 Passen Sie die folgenden Parameter an und klicken auf Apply:
- Hostname: Geben Sie die IP-Adresse oder den DNS-Namen des RADIUS-Servers an, über den die Authentifizierung bei der Anmeldung erfolgen soll.
- Key: Geben Sie ein Passwort ein, mit dem sich der Switch bei dem RADIUS-Server authentifiziert.
1.3 Wechseln Sie in das Menü Security → Management → Auth Method.
1.4 Wählen Sie bei den gewünschten Verwaltungs-Protokollen im Dropdown-Menü die Option radius aus, damit die Authentifizierung über den zentralen RADIUS-Server erfolgt.
Als Fallback ist es sinnvoll bei der zweiten Methode die Option local auszuwählen. Ist der RADIUS-Server nicht erreichbar, erfolgt die Authentifizierung anhand der lokalen Benutzer-Tabelle.
Klicken Sie anschließend auf Apply.
Ist HTTPS aktiv, erfolgt mit der Option redirect bei HTTP eine automatische Weiterleitung auf HTTPS.
1.5 Klicken Sie in der rechten oberen Ecke auf das Disketten-Symbol, damit die Konfiguration als Start-Konfiguration gespeichert wird.
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.
2. Konfiguration des RADIUS-Servers auf einem LANCOM Router oder Access Point:
2.1 Öffnen Sie die Konfiguration des Routers / Access Points, welcher als RADIUS-Server fungiert, in LANconfig. Wechseln Sie anschließend in das Menü RADIUS → Server und setzen den Haken bei RADIUS-Authentisierung aktiv.
2.2 Wechseln Sie in das Menü RADIUS-Dienste Ports.
2.3 Stellen Sie sicher, dass bei Authentifizierungs-Port der Port 1812 hinterlegt ist.
2.4 Wechseln Sie in das Menü IPv4-Clients.
2.5 Erstellen Sie einen neuen Eintrag und passen die folgenden Parameter an:
- IP-Adresse: Tragen Sie die IP-Adresse des zu authentifizierenden Switches ein.
- Netzmaske: Tragen Sie die Netzmaske 255.255.255.255 ein. Diese steht für eine einzelne IP-Adresse.
- Client-Secret: Tragen Sie den in Schritt 1.2 vergebenen Key ein. Dieser wird für die Authentifizierung des Switches am RADIUS-Server verwendet.
2.6 Wechseln Sie in das Menü Benutzerkonten.
2.7 Erstellen Sie einen neuen Eintrag und passen die folgenden Parameter an:
- Name / MAC-Adresse: Geben Sie einen Benutzer-Namen an, mit dem der Benutzer auf den Switch zugreifen soll.
- Passwort: Geben Sie ein Passwort an, mit dem der Benutzer auf den Switch zugreifen soll.
- Protokolleinschränkung für Authentifizierung: Deaktivieren Sie alle Optionen außer PAP. Dies ist sinnvoll, da die Switches der GS-3xxx Serie lediglich PAP unterstützen.
- Shell-Privileg-Stufe: Setzen Sie den Wert auf 15, damit der Benutzer Schreibrechte für alle Funktions-Gruppen erhält.
- Ablauf-Art: Wählen Sie im Dropdown-Menü Niemals aus, damit der Eintrag dauerhaft gültig bleibt.
Die Shell-Privileg-Sufe kann von 1 - 15 gesetzt werden, wobei der Wert 15 die höchste Priorität darstellt.
Es besteht die Möglichkeit im Switch im Menü Security → Management → Privilege-Level einzelnen Funktions-Gruppen unterschiedliche Privilege-Level zuzuweisen. Dadurch können verschiedenen Benutzern unterschiedliche Berechtigungen zugewiesen werden.
2.8 Die Konfigurationsschritte auf dem Router / Access Point, welcher als RADIUS-Server fungiert, sind damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.
