Aktuell können sich Benutzer über RADIUS, TACACS+ oder die interne Benutzerverwaltung des Gerätes in die Verwaltungsoberfläche eines Gerätes einloggen. Mit RADIUS ist das für folgende Protokolle möglich:
- Telnet
- SSH
- WEBconfig
- TFTP
- Outband
Anmerkung: Eine RADIUS-Authentifizierung über SNMP ist derzeit nicht unterstützt.
Anmerkung: Eine RADIUS-Authentifizierung über LL2M (LANCOM Layer 2 Management Protokoll) ist nicht unterstützt, da LL2M Klartext-Zugriff auf das im Gerät gespeicherte Passwort benötigt.
Der RADIUS-Server übernimmt die Verwaltung der Benutzer in den Bereichen Authentifizierung, Autorisierung und Accounting (Triple-A-Protokoll), was bei umfangreichen Netz-Installationen mit mehreren Routern die Verwaltung von Admin-Zugängen stark vereinfacht.
Die Anmeldung über einen RADIUS-Server läuft wie folgt ab:
- Bei der Anmeldung sendet das Gerät die eingegebenen Anmeldedaten des Benutzers an den RADIUS-Server im Netz. Die Server-Daten sind dazu im Gerät gespeichert.
- Der Server prüft die Anmeldedaten auf Gültigkeit.
- Bei ungültigen Daten sendet er dem Gerät eine entsprechende Nachricht, und das Gerät bricht den Anmeldevorgang mit einer Fehlernachricht ab.
- Bei gültigen Anmeldedaten sendet der Server dem Gerät mit der Zugangserlaubnis auch die Zugriffs- und Funktionsrechte, so dass der Anwender nur auf die entsprechend freigeschalteten Funktionen und Verzeichnisse zugreifen kann.
- Falls die Sitzungen des Anwenders durch den RADIUS-Server budgetiert sind (Bereich Accounting), speichert das Gerät die Sitzungsdaten wie Start, Ende, Benutzername, Authentifizierungsmodus und – wenn vorhanden – den genutzten Port.
Im LANconfig können Sie die Authentifizierungsmethode unter festlegen.
Geräte-Login Authentifizierung
Im Abschnitt Geräte-Login Authentifizierung wählen Sie die Methode aus, über die sich Benutzer beim Zugriff auf die Verwaltungsoberfläche des Gerätes authentifizieren sollen:
- Interne Administratoren-Tabelle
- Das Gerät übernimmt die komplette Benutzerverwaltung mit Anmeldename, Passwort sowie Zugriffs- und Funktionsrechte-Zuordnung.
- RADIUS
- Die Benutzerverwaltung erfolgt über einen RADIUS-Server im Netz.
- TACACS+
- Die Benutzerverwaltung erfolgt über einen TACACS+-Server im Netz.
RADIUS-Authentifizierung
Im Abschnitt RADIUS-Authentifizierung geben Sie die notwendigen RADIUS-Server-Daten sowie zusätzliche Verwaltungsdaten an.
- Zugriffssrechte via
-
Im RADIUS-Server ist die Autorisierung der Anwender gespeichert. Bei einer Anfrage sendet der RADIUS-Server die Zugriffs- und Funktionsrechte zusammen mit den Login-Daten an das Gerät, das daraufhin den Anwender mit entsprechenden Rechten einloggt.
Normalerweise sind Zugriffsrechte im RADIUS Management-Privilege-Level (Attribut 136) festgelegt, sodass das Gerät den übertragenen Wert nur auf die internen Zugriffsrechte zu mappen braucht. Es kann jedoch auch sein, dass der RADIUS-Server zusätzlich Funktionsrechte übertragen soll oder das Attribut 136 bereits anderweitig bzw. andere, hersteller-spezifische Attribute für die Autorisierung verwendet. In diesem Fall kann das Gerät auch eine herstellerabhängige Autorisierung auswerten.
- Anbieterspezifisches Attribut: Das Gerät wertet das anbieterspezifische Attribut aus.
- Management-Privilege-Level-Attribut: Das Gerät wertet das Management-Privilege-Level-Attribut des RADIUS-Servers aus.
- Shell-Privilege Attribut: Das Gerät wertet das Shell-Privilege Attribut des RADIUS-Servers aus.
- Accounting
-
Hier bestimmen Sie, ob das Gerät die Sitzung des Anwenders aufzeichnet.
- Nein: Das Gerät zeichnet die Sitzung nicht auf.
- Ja: Das Gerät zeichnet die Sitzung auf (Start, Ende, Benutzername, Authentifizierungsmodus, Port).
- RADIUS-Server
-
In dieser Tabelle können Sie die Einstellungen für den RADIUS-Server vornehmen
- Profil-Name
- Vergeben Sie hier einen Namen für den RADIUS-Server.
- Backup-Profil
- Geben Sie den Namen des alternativen RADIUS-Servers an, an den das Gerät Anfragen weiterleitet, wenn der erste RADIUS-Server nicht erreichbar ist.Anmerkung: Für den Backup-Server müssen Sie einen weiteren Eintrag in der Server-Tabelle vornehmen.
- Server-Adresse
- Vergeben Sie hier die IPv4-Adresse des RADIUS-Servers.
- Port
- Geben Sie hier den Port an, über den der RADIUS-Server mit dem Gerät kommuniziert.
- Attributwerte
-
LCOS ermöglicht es, die RADIUS-Attribute für die Kommunikation mit einem RADIUS-Server (sowohl Authentication als auch Accounting) zu konfigurieren.
Die Angabe der Attribute erfolgt als semikolon-separierte Liste von Attribut-Nummern oder -Namen und einem entsprechenden Wert in der Form <Attribut_1>=<Wert_1>;<Attribut_2>=<Wert_2>.
Da die Anzahl der Zeichen begrenzt ist, lässt sich der Name abkürzen. Das Kürzel muss dabei eindeutig sein. Beispiele:
- NAS-Port=1234 ist nicht erlaubt, da das Attribut nicht eindeutig ist (NAS-Port, NAS-Port-Id oder NAS-Port-Type).
- NAS-Id=ABCD ist erlaubt, da das Attribut eindeutig ist (NAS-Identifier).
- %n
- Gerätename
- %e
- Seriennummer des Gerätes
- %%
- Prozentzeichen
- %{name}
- Original-Name des Attributes, wie ihn die RADIUS-Anwendung überträgt. Damit lassen sich z. B. Attribute mit originalen RADIUS-Attributen belegen: Called-Station-Id=%{NAS-Identifier} setzt das Attribut Called-Station-Id auf den Wert, den das Attribut NAS-Identifier besitzt.
- Shared Secret
- Geben Sie hier das Kennwort für den Zugang zum RADIUS-Server an und wiederholen Sie es im zweiten Eingabefeld.
- Absende-Adresse
- Hier können Sie optional eine Absende-Adresse festlegen, die das Gerät statt der ansonsten automatisch für die Zieladresse gewählten Absende-Adresse verwendet.
- Protokoll
- Geben Sie hier das Protokoll an, mit dem der RADIUS-Server mit dem Gerät kommuniziert.
- Kategorie
- Bestimmen Sie, für welche Kategorie der RADIUS-Server gelten soll.