Zum Hauptinhalt gehen

Der RADIUS-Server

Aktualisiert

Dieser Artikel enthält Folgendes:

Schritt 1 – Konfigurieren eines Radius-Servers

Schritt 2: Einrichten des RADIUS-Clients

Schritt 3: Übergabe der Anmeldekontrolle

Firmware 2.02 oder höher ist für diese Funktion erforderlich. Das notwendige Firmware-Update kann kostenlos unter www.generex.de heruntergeladen werden. Diese Funktion steht direkt nach dem Firmware-Update zur Verfügung.

 

Was ist "RADIUS“?

RADIUS ist die Abkürzung für Remote Authentication Dial-In User Service. Im Prinzip geht es darum, dass mit wachsender Zahl an Endgeräten wie Drucker, Zugangspunkte, Switche, Router, etc. in Verbindung mit immer mehr Personal, dass dynamisch Zugang zu den Konfigurationsmenüs irgendwann der Punkt erreicht ist, wo der Zeitaufwand für das Einrichten, Löschen und Umschlüsseln von Nutzern zu groß wird… Mit einem funktionierenden RADIUS kann man die notwendigen Freigaben zentralisieren und muss nicht mehr auf den jeweiligen Endgeräten lokal Nutzer und ihre Freigaben pflegen.

Das funktioniert grob betrachtet so:

Das Endgerät bekommt „seinen“ RADIUS-Server mitgeteilt, wo es nachfragen kann, ob ein Nutzer existiert und welche Freigabeberechtigung vorliegt. Der RADIUS-Server nimmt die Anfrage entgegen, gleicht seine Nutzerdatenbank ab und antwortet entsprechend. Das hat zur Folge, dass ein Endgerät keine eigene Nutzerdatenbank vorhalten muss, die natürlich auch exklusiv bei Mitarbeiterwechsel und Passwortänderungen mitgepflegt werden muss.

Praktisch ausgedrückt:

Man stelle sich folgenden Arbeitsauftrag vor: 15 Access Points unterschiedlicher Hersteller, auf denen 3 Nutzer ausgeschlüsselt werden müssen, 2 Nutzer bekommen andere Freigaben und 1 Nutzer wird hinzugefügt.

Das bedeutet für den Administrator, dass er 15*6 Nutzer anfassen muss, also zusammengefasst 90 Nutzerdaten zu ändern hat, sich dazu bei jedem Endgerät exklusiv anmelden muss, und damit im schlimmsten Fall 15 Passworte benötigt, und die Auswahl zwischen „admin“, „administrator“, „root“, etc. hat… Ein immenser Aufwand, der für bescheidene 6 Benutzer entsteht. Mit einem RADIUS-Server sind es letztendlich nur 6 Nutzer, die auch noch zentral abgespeichert sind. Die Endgeräte müssen in diesem Fall gar nicht angefasst werden, da diese ja den RADIUS-Server fragen, wer sich anmelden darf.

Ab einer bestimmten Netzwerkgröße / Endgerätezahl und Personalstärke macht es also durchaus Sinn, irgendwann über den Einsatz von RADIUS-Servern nachzudenken.

 

Konfigurieren eines CS141 zur Verwendung eines RADIUS-Servers

Notwendige Voraussetzungen:

  1. Ein RADIUS-Server, der läuft
  2. Zugangsdaten und ggf. Zertifikate
  3. Netzwerkverbindung für den CS141 und lokalen administrativen Zugriff (Super User oder “Administrator”)

Hinweis: 

Für dieses Konfigurationstutorial verwenden wir FreeRADIUS für Windows, da es relativ einfach einzurichten ist und auch für unerfahrene Benutzer schnell betriebsbereit ist. Für tiefere Konfigurationen und den von Ihnen verwendeten RADIUS-Server wenden Sie sich bitte an den entsprechenden technischen Support für Ihr Produkt. FreeRADIUS für Windows ist über einen Download im Internet verfügbar (z.B. besuchen Sie Sourceforge für einen Downloadlink).

 

Schritt 1 – Konfigurieren eines Radius-Servers

Dies sind die folgenden Unterkategorien dieses Schrittes:

Einrichten eines RADIUS-Benutzers am Server:

Das Maschinenkonto für den CS141:

Der Pre-Shared Key (Shared Secret am C141)

Der "Debug-Modus":

Typische Testkonfiguration für einen RADIUS-Server

 

Einrichten eines RADIUS-Benutzers am Server:

In dieser Konfiguration gehen wir davon aus, dass die IP-Adresse bekannt ist und der RADIUS-Server im folgenden Verzeichnis installiert ist:

C:\FreeRADIUS.net

In diesem Verzeichnis finden Sie die *.exe-Datei, um den RADIUS-Server zu starten …

 

Bitte stellen Sie sicher, dass Sie dieses Programm sowohl installieren als auch ausführen „als Administrator“, andernfalls können Probleme beim Ausführen des Serverprogramms auftreten.

 

Die notwendigen Konfigurationsdateien finden Sie alle im folgenden Verzeichnis:

C:\FreeRADIUS.net\etc\raddb

Hier ist die Datei "users.conf" besonders interessant.

In diesem Beispiel wurden zwei Benutzer eingetragen. Die folgenden Spezifikationen gelten derzeit für den CS141:

Administrativer Benutzer

Dies ist die lokale CS141-Benutzerrolle „Administrator“.

Login-Benutzer

Dies ist die lokale CS141-Benutzerrolle „Engineer“.


Customer, Guest usw. werden derzeit nicht unterstützt, sie werden mit den nächsten Firmware-Updates hinzugefügt.

 

Das Maschinenkonto für den CS141:

Dies ist das Konto, das der CS141 benötigt, wenn er sich beim RADIUS-Server anmelden möchte. Ohne dieses Konto kann der CS141 den RADIUS-Server nicht nach benutzerdefinierten Benutzern fragen - der RADIUS-Server wird die Anfrage ohne Grund abweisen.

Dieses Konto ist jedoch auch in der Datei "users.conf" angegeben. In diesem Beispiel lautet der Benutzername und das Passwort, mit dem sich der CS141 beim RADIUS-Server anmeldet:

  • Benutzer:                       FreeRADIUS.net-Client
  • Passwort:                       demo

 

Der Pre-Shared Key (Shared Secret im C141)

Darüber hinaus wird der CS141 nach einem "pre-shared key" fragen, der in der Datei "clients.conf" zu finden ist:

In diesem Fall lautet der pre-shared key

"testing456"

Und ist gültig für das Netzwerk 192.168.150.0/24 - Möglicherweise müssen Sie diese Einstellung an Ihr Netzwerk anpassen. 

Warum Sie diese Konfiguration benötigen: Nur wenn der CS141 diesen Schlüssel zuerst überträgt, bevor die Anfrage gestellt wird, wird der RADIUS-Server sich gezwungen fühlen, diese Anfrage zu verarbeiten. In allen anderen Fällen wird der RADIUS-Server diese Anfrage einfach abweisen.

Von nun an haben Sie alle Informationen, die für die Konfiguration des CS141 benötigt werden.

 

Hinweis:

Vergessen Sie nach jeder Konfigurationsarbeit nicht, den RADIUS-Server neu zu starten, andernfalls sind die neuen Konfigurationen nicht verfügbar.

 

Der "Debug-Modus":

Bevor Sie den CS141 konfigurieren, stellen Sie sicher, dass der RADIUS-Server korrekt konfiguriert und gestartet ist, dies kann leicht über das Kontextmenü des RADIUS-Symbols in der Taskleiste erfolgen. Start, Stopp, Debug-Modus usw. sind klar und direkt zugänglich.

Der Debug-Modus bietet eine besondere Funktion:

Beim Start öffnet sich ein CMD-Fenster, in dem der RADIUS-Server anzeigt, was er gerade tut und insbesondere interessant ist, warum eine Anfrage abgelehnt wurde:

Am Ende der Startprozedur steht "Ready to process requests":

- Wenn das Fenster sofort wieder schließt, dann stimmt etwas mit dem RADIUS-Server nicht, wahrscheinlich stimmt etwas mit den von Ihnen selbst vorgenommenen Einträgen nicht.

- In jedem anderen Fall können Sie dieses Fenster verwenden, um zu überwachen, ob und wie Ihre Testkonfiguration Anfragen an den RADIUS-Server sendet und wie der RADIUS-Server antwortet.

- Um den RADIUS-Server zu stoppen, schließen Sie einfach das Debug-Fenster und der RADIUS-Server ist "AUS", bis zum nächsten Start, was für schnelle Testläufe sehr praktisch ist.

 

Typische Testkonfiguration für einen RADIUS-Server

Bevor wir den CS141 einrichten, sollten wir überlegen, wie der RADIUS-Server überhaupt angesprochen werden soll:

Mit den vorgenommenen Einstellungen können Sie bereits einen RADIUS-Server auf jedem PC zu Testzwecken betreiben.

Wenn Sie sich den Screenshot oben im Abschnitt "Pre-Shared Key" erneut ansehen, finden Sie den folgenden Eintrag (Wenn dieser nicht enthalten ist, fügen Sie ihn bitte hinzu, stellen Sie sicher, dass das private Netzwerk eine fortlaufende Nummer hat):

client 10.0.0.0 / 8 {
	secret	= testing123
	shortname = private-network 3

}

In diesem Fall ist der IP-Adressbereich 10.10.10.0 - 10.10.10.254 im RADIUS-Pool enthalten, und der RADIUS-Server wird in jedem Fall antworten, wenn der Computer und der CS141 eine übereinstimmende IP-Adresse haben.

In diesem Tutorial werden Sie der Netzwerkkarte Ihres Computers die IP-Adresse 10.10.10.12 / 255.255.255.0 zuweisen.

  1. Sobald Sie einen CS141 anschließen, ist er direkt im Konfigurationsmodus (Schiebeschalter in der Mitte) und während der Ersteinrichtung über die Start-IP 10.10.10.10 erreichbar.
  2. Sobald Sie die RADIUS-Funktion am CS141 einrichten, sendet der CS141 die Anfrage an die IP 10.10.10.12 und der RADIUS-Server wird entsprechend antworten.

Bevor Sie zu Schritt 2 übergehen, stellen Sie sicher, dass

  • der Schiebeschalter in der linken Position ist
  • die IP-Adresse auf 10.10.10.4 eingestellt ist.
  • Ihr PC die IP-Adresse 10.10.10.12 hat.
  • Der RADIUS-Server im Debug-Modus läuft, um zu sehen, was passiert.

 

Schritt 2: Einrichten des RADIUS-Clients

Dies sind die folgenden Unterkategorien dieses Schrittes:

IP-Adresse, Port und Shared Secret

Wählen Sie Ihre Verschlüsselungsmethode

Einrichten von Timeouts und Wiederholungen

Der Radius-Client-Benutzer / das Maschinenkonto

Testen, Speichern und Abbrechen

Wenn der RADIUS-Server läuft, wird es möglich sein, den CS141 zu konfigurieren und zu testen.

Bei RADIUS-Servern klicken Sie auf das Bearbeitungssymbol, um den Konfigurationsdialog zu öffnen. Der CS141 unterstützt bis zu zwei RADIUS-Server, die nacheinander abgefragt werden.

 

IP-Adresse, Port und Shared Secret

  • IP-Adresse:             Geben Sie die gültige IP-Adresse des RADIUS-Servers ein.
  • Port:                       Geben Sie den Port ein, auf dem Ihr RADIUS-Server derzeit lauscht.
  • Shared Key:           Dieser Schlüssel wird verwendet, um die Antwort des RADIUS-Servers zu authentifizieren -                               ohne diesen Schlüssel wird der Server eine Anfrage grundsätzlich abweisen.

Das Shared Secret haben Sie im Preshared Key angeben.

 

Wählen Sie Ihre Verschlüsselungsmethode

Verschlüsselung ist innerhalb moderner Netzwerke zu einem technischen Standard geworden. Der CS141 unterstützt daher zahlreiche Verschlüsselungsmethoden und kann somit an die unterschiedlichsten Anforderungen innerhalb der Netzwerk-Infrastruktur angepasst werden. Bitte beachten Sie, dass Sie möglicherweise zusätzliche Zertifikate benötigen und weitere Konfigurationsarbeiten erforderlich sind, die diese Beispielkonfiguration beschreibt. 

Wenn Sie andere Verschlüsselungsmethoden planen, wenden Sie sich bitte an den lokal zuständigen Systemadministrator.

 

Einrichten von Timeouts und Wiederholungen

Das Timeout wird in Sekunden eingestellt und definiert, wie lange der CS141 wartet, bis er die Anfrage als verloren betrachtet. Der Standardwert beträgt 30 Sekunden. 

Mit den Wiederholungen ist es möglich festzulegen, wie oft die Anfrage wiederholt werden soll, bevor der CS141 schließlich aufgibt und den zweiten RADIUS-Server fragt.

Bitte beachten Sie, dass Timeout und Wiederholungen zusammenarbeiten und dazu führen können, dass Benutzer sehr lange auf eine Antwort warten, falls RADIUS nicht erreichbar ist.

 

Der Radius-Client-Benutzer / das Maschinenkonto

Um mit dem RADIUS-Server kommunizieren zu können, benötigt der CS141 ein eigenes gültiges Konto, über das sich der CS141 mit dem RADIUS-Server verbinden kann, um gültige Benutzer-IDs abzufragen.

Für gültige Anmeldedaten wenden Sie sich bitte an den zuständigen Systemadministrator.

Testen, Speichern und Abbrechen

Einträge können nur gespeichert werden, nachdem alle Daten korrekt eingegeben wurden und der Verbindungstest zum RADIUS-Server erfolgreich war. 

 

 

Schritt 3: Übergabe der Anmeldekontrolle

 

  1. Wechseln Sie von nur lokaler Authentifizierung zu RADIUS, dann lokale Authentifizierung:

  2. drücken Sie „Übernehmen“.

 

Jetzt können Sie alle RADIUS-Möglichkeiten Durchspielen: RADIUS, danach lokal wird einen lokalen Nutzer erlauben, wenn der RADIUS-Server nicht antwortet, bei RADIUS ONLY wird nur der SuperUser „admin“ funktionieren, wenn der Schiebeschalter in Mittelstellung ist, Engineer und Administratorfreigaben je nach Einstellungen eingeblendet, etc

 

RADIUS mit Microsoft NPS und Cisco ISE

Dieser Leitfaden geht sehr detailliert auf FreeRADIUS ein, was Ihnen bei Microsoft NPS oder Cisco ISE nicht viel helfen wird.

Die Unterschiede zwischen Microsoft NPS, Cisco ISE und FreeRADIUS sind wie folgt:

In FreeRADIUS wird die Benutzerrolle als STRING gespeichert, während sowohl Microsoft NPS als auch Cisco ISE mit INTEGER arbeiten:
 

CS141 Rolle Service-Type (Numerisch) Service-Type (Name)
Administrator 6 Administrative (Administrative-User)
Engineer 1 Login (Login-User)
Guest ? ?

Für Unterstützung bei der Konfiguration eines Radius 802.1X wenden Sie sich bitte an den folgenden Link, um auf den entsprechenden Artikel zu diesem Thema zuzugreifen:

RADIUS 802.1X
 

 

v.: 2025-07-23 FW 2.16-2.26

GX_LOGO_RE-RZ_RGB_BLUE_21AUG25 1 (1).png

Verknüpfung mit

Verwandte Beiträge

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.