Description:
In diesem Artikel wird beschrieben, wie auf einem LANCOM Router oder Access Point mit LCOS eine Zugriffs-Verwaltung per RADIUS (802.1x) realisiert werden kann. Dadurch ist es möglich Zugangs-Daten für Benutzer zentral zu administrieren.
Requirements:
- LANCOM Router / Access Point mit LCOS als RADIUS-Client
- LANCOM Router / Access Point mit LCOS als RADIUS Server
- LCOS ab Version 9.24 (download aktuelle Version)
- LANtools ab Version 9.24 (download aktuelle Version)
Procedure:
1. Konfiguration der RADIUS-Authentifizierung auf dem Router oder Access Point:
1.1 Verbinden Sie sich per LANconfig mit dem Router / Access Point, für den die zentrale Zugriffs-Verwaltung eingerichtet werden soll, wechseln in das Menü Management → Authentication und passen die folgenden Parameter an:
- Authentication via: Wählen Sie im Dropdownmenü die Option RADIUS aus.
- Access rights via: Wählen Sie im Dropdownmenü die Option Shell privilege attribute aus.
1.2 Wechseln Sie in das Menü RADIUS servers.
1.3 Erstellen Sie einen neuen Eintrag und passen die folgenden Parameter an:
- Profile name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel RADIUS).
- Server address: Tragen Sie die IP-Adresse des RADIUS-Servers ein (in diesem Beispiel ein LANCOM Router mit der IP-Adresse 192.168.1.254).
- Secret: Tragen Sie ein Passwort ein, welches der Router / Access Point zur Authentifizierung am RADIUS-Server verwendet (siehe Schritt 2.5).
1.4 Die Konfigurationsschritte auf dem Router / Access Point sind damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.
2. Konfiguration des RADIUS-Servers auf einem LANCOM Router oder Access Point:
2.1 Öffnen Sie die Konfiguration des Routers / Access Points, welcher als RADIUS-Server fungiert, in LANconfig. Wechseln Sie anschließend in das Menü RADIUS → Server und setzen den Haken bei RADIUS authentication active.
2.2 Wechseln Sie in das Menü RADIUS services ports.
2.3 Stellen Sie sicher, dass bei Authentication port der Port 1812 hinterlegt.
2.4 Wechseln Sie in das Menü IPv4 clients.
2.5 Erstellen Sie einen neuen Eintrag und passen die folgenden Parameter an:
- IP address: Tragen Sie die IP-Adresse des zu authentifizierenden Routers / Access Points ein.
- Netmask: Tragen Sie die Netzmaske 255.255.255.255 ein. Diese steht für eine einzelne IP-Adresse.
- Client secret: Tragen Sie den in Schritt 1.3 vergebenen Schlüssel ein. Dieses wird für die Authentifizierung des Routers / Access Points am RADIUS-Server verwendet.
2.6 Wechseln Sie in das Menü User table.
2.7 Erstellen Sie einen neuen Eintrag und passen die folgenden Parameter an:
- Name / MAC address: Geben Sie einen Benutzer-Namen an, mit dem der Benutzer auf den Router / Access Point zugreifen soll.
- Password: Geben Sie ein Passwort an, mit dem der Benutzer auf den Router / Access Point zugreifen soll.
- Shell privilege level: Setzen Sie den Wert auf 15, damit der Benutzer Schreibrechte für alle Funktions-Gruppen erhält.
- Expiry type: Wählen Sie im Dropdown-Menü Never aus, damit der Eintrag dauerhaft gültig bleibt.
Das LCOS unterstützt 7 verschiedene Berechtigungen, welche als Shell-Privileg-Stufe gesetzt werden können.
Attribut | Zugriffsrechte | Anmerkungen |
---|---|---|
1 | User, nur lesen | Nur Zugriff per Konsole und WEBconfig auf den Status-Baum |
3 | User, nur schreiben | Nur Zugriff per Konsole und WEBconfig auf den Status-Baum, zusätzlich können Status-Tabellen zurückgesetzt werden |
5 | Admin, nur lesen, keine Trace-Rechte | Lese-Zugriff per Konsole und WEBconfig (inklusive Konfiguration / Setup-Baum) |
7 | Admin, lesen und schreiben, keine Trace-Rechte | Lese- und Schreib-Zugriff per Konsole und WEBconfig (inklusive Konfiguration / Setup-Baum) |
9 | Admin, nur lesen | Lese-Zugriff per Konsole und WEBconfig (inklusive Konfiguration / Setup-Baum) |
11 | Admin, lesen und schreiben | Lese- und Schreib-Zugriff per Konsole und WEBconfig (inklusive Konfiguration / Setup-Baum) |
15 | Supervisor | Alle Zugriffsrechte inklusive Zugriff per LANconfig |
2.8 Die Konfigurationsschritte auf dem Router / Access Point, welcher als RADIUS-Server fungiert, sind damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.