Beschreibung:
In diesem Artikel wird beschrieben, wie auf einem Switch der XS- oder GS-45xx Serie eine Zugriffs-Verwaltung per RADIUS (802.1x) realisiert werden kann. Dadurch ist es möglich Zugangs-Daten für Benutzer zentral zu administrieren.
Voraussetzungen:
- Switch der XS- oder GS-45xx Serie als RADIUS-Client
- LANCOM Router / Access Point mit LCOS als RADIUS Server
- LCOS ab Version 9.24 (download aktuelle Version)
- LCOS SX ab Version 5.20 (download aktuelle Version)
- LANtools ab Version 9.24 (download aktuelle Version)
- Beliebiger Web-Browser für den Zugriff auf das Webinterface des Switches
Vorgehensweise:
1. Konfiguration der RADIUS-Authentifizierung auf dem Switch:
1.1 Verbinden Sie sich per Webinterface mit dem Switch und wechseln in das Menü Security → RADIUS → Named Server.
1.2 Klicken Sie auf Add, um die RADIUS-Parameter zu hinterlegen.
1.3 Passen Sie die folgenden Parameter an und klicken auf Submit:
- IP Address/Host Name: Tragen Sie die IP-Adresse oder den DNS-Namen des RADIUS-Servers ein, über den die Authentifizierung bei der Anmeldung erfolgen soll.
- Secret: Tragen Sie ein Passwort ein. Damit authentifiziert sich der Switch am RADIUS-Server.
- Server Type: Wählen Sie die Option Primary aus. Dadurch wird dieser RADIUS-Server als primärer RADIUS-Server verwendet.
1.4 Wechseln Sie in das Menü System → AAA → Authentication List.
1.5 Wählen Sie das gewünschte Protokoll aus (in diesem Beispiel HTTPS mit der httpslist) und klicken auf Edit, um weitere Einstellungen vorzunehmen.
Die folgenden Schritte gelten analog für die Protokolle HTTP (httplist) und Telnet bzw. SSH (networklist).
1.6 Wählen Sie bei Selected Methods die Option Local aus und klicken auf das Pfeil-Symbol, welches nach links zeigt, um dieses zu entfernen.
1.7 Wählen Sie bei gedrückter <STRG> Taste bei Available Methods nacheinander die Optionen Radius und Local aus und klicken auf das Pfeil-Symbol, welches nach rechts zeigt, um diese hinzuzufügen.
Die Methoden bei Selected Methods werden der Reihe nach durchlaufen. Daher muss zuerst Radius und danach Local hinterlegt werden. Ist der RADIUS-Server nicht erreichbar, erfolgt ein Fallback auf die lokale Benutzer-Tabelle.
1.8 Klicken Sie auf Submit, um die Änderungen zu übernehmen.
1.9 Klicken Sie in der rechten oberen Ecke auf Save Configuration, damit die Konfiguration als Start-Konfiguration gespeichert wird.
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.
Die Speicherung der aktuellen Konfiguration als Start-Konfiguration können Sie alternativ auch über die Konsole mit dem Befehl write memory vornehmen.
1.10 Die Konfigurations-Schritte auf dem Switch sind damit abgeschlossen.
2. Konfiguration des RADIUS-Servers auf einem LANCOM Router oder Access Point:
2.1 Öffnen Sie die Konfiguration des Routers / Access Points, welcher als RADIUS-Server fungiert, in LANconfig. Wechseln Sie anschließend in das Menü RADIUS → Server und setzen den Haken bei RADIUS-Authentisierung aktiv.
2.2 Wechseln Sie in das Menü RADIUS-Dienste Ports.
2.3 Stellen Sie sicher, dass bei Authentifizierungs-Port der Port 1812 hinterlegt ist.
2.4 Wechseln Sie in das Menü IPv4-Clients.
2.5 Erstellen Sie einen neuen Eintrag und passen die folgenden Parameter an:
- IP-Adresse: Tragen Sie die IP-Adresse des zu authentifizierenden Switches ein.
- Netzmaske: Tragen Sie die Netzmaske 255.255.255.255 ein. Diese steht für eine einzelne IP-Adresse.
- Client-Secret: Tragen Sie das in Schritt 1.3 vergebene Secret ein. Dieses wird für die Authentifizierung des Switches am RADIUS-Server verwendet.
2.6 Wechseln Sie in das Menü Benutzerkonten.
2.7 Erstellen Sie einen neuen Eintrag und passen die folgenden Parameter an:
- Name / MAC-Adresse: Geben Sie einen Benutzer-Namen an, mit dem der Benutzer auf den Switch zugreifen soll.
- Passwort: Geben Sie ein Passwort an, mit dem der Benutzer auf den Switch zugreifen soll.
- Protokolleinschränkung für Authentifizierung: Deaktivieren Sie alle Optionen außer PAP. Dies ist sinnvoll, da die Switches der XS- und GS-45xx Serie lediglich PAP unterstützen.
- Shell-Privileg-Stufe: Setzen Sie den Wert auf 15, damit der Benutzer Lese- und Schreibrechte erhält.
- Ablauf-Art: Wählen Sie im Dropdown-Menü Niemals aus, damit der Eintrag dauerhaft gültig bleibt.
Die Shell-Privileg-Sufe kann von 1 - 15 gesetzt werden, wobei der Wert 15 die höchste Priorität darstellt.
Auf XS- und GS-45xx Switches gibt es lediglich drei verschiedene Privilege-Level:
- 0 - Der Benutzer ist zwar angelegt, darf sich aber nicht am Switch anmelden.
- 1 - Der Benutzer kann die Konfiguration einsehen aber keine Änderungen vornehmen.
- 15 - Der Benutzer kann die Konfiguration einsehen und Änderungen vornehmen.
2.8 Die Konfigurationsschritte auf dem Router / Access Point, welcher als RADIUS-Server fungiert, sind damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.
