|
Lines 2278-2328
dansguardian -g
Link Here
|
| 2278 |
|
2278 |
|
| 2279 |
</section> |
2279 |
</section> |
| 2280 |
|
2280 |
|
| 2281 |
</section> |
2281 |
</section> |
| 2282 |
|
2282 |
|
| 2283 |
<section id="ip-config:radius"> |
2283 |
<section id="ip-config:radius"> |
| 2284 |
<title>RADIUS</title> |
2284 |
<title>RADIUS</title> |
| 2285 |
<para> |
2285 |
<para> |
| 2286 |
Die RADIUS App erhöht die Sicherheit für mit UCS verwaltete IT-Infrastrukturen |
2286 |
Die RADIUS App erhöht die Sicherheit für mit UCS verwaltete IT-Infrastrukturen |
| 2287 |
durch Zugangskontrollen zu WiFi Netzwerken für Benutzer, Gruppen und Endgeräte |
2287 |
durch Zugangskontrollen zu WiFi-Netzen für Benutzer, Gruppen und Endgeräte |
| 2288 |
über das <ulink |
2288 |
über das <ulink |
| 2289 |
url="https://de.wikipedia.org/wiki/Remote_Authentication_Dial-In_User_Service">RADIUS |
2289 |
url="https://de.wikipedia.org/wiki/Remote_Authentication_Dial-In_User_Service">RADIUS |
| 2290 |
Protokoll</ulink>. Die Konfiguration erfolgt über Blacklisten und Whitelisten |
2290 |
Protokoll</ulink>. Die Konfiguration erfolgt über Blacklisten und Whitelisten |
| 2291 |
direkt am Benutzer-, Gruppen- oder Endgeräte-Objekt im UCS Managementsystem. |
2291 |
direkt am Benutzer-, Gruppen- oder Endgeräte-Objekt im UCS-Managementsystem. |
| 2292 |
Registrierte Benutzer werden mit ihrem üblichen Domänenpasswort |
2292 |
Registrierte Benutzer authentisieren sich mit ihrem üblichen Domänenpasswort, |
| 2293 |
authentisiert, so dass unter anderem Bring Your Own Device Konzepte ermöglicht |
2293 |
so dass unter anderem "Bring Your Own Device"-Konzepte ermöglicht |
| 2294 |
werden. |
2294 |
werden. |
| 2295 |
</para> |
2295 |
</para> |
| 2296 |
<section id="ip-config:radius:installation"> |
2296 |
<section id="ip-config:radius:installation"> |
| 2297 |
<title>Installation</title> |
2297 |
<title>Installation</title> |
| 2298 |
<para> |
2298 |
<para> |
| 2299 |
RADIUS steht über das App Center (siehe <xref linkend="software:appcenter"/>) |
2299 |
RADIUS steht über das App Center (siehe <xref linkend="software:appcenter"/>) |
| 2300 |
zur Verfügung und kann über das entsprechende &ucsUMC; Modul App Center |
2300 |
zur Verfügung und kann über das entsprechende &ucsUMC;-Modul <guimenu>App Center</guimenu> |
| 2301 |
installiert werden. Die App kann auf mehreren Systemen installiert werden. Nach |
2301 |
installiert werden. Die App kann auf mehreren Systemen installiert werden. Nach |
| 2302 |
der Installation startet die App einen <ulink |
2302 |
der Installation startet die App einen <ulink |
| 2303 |
url="http://freeradius.org/">FreeRADIUS</ulink> Server. Clients (z.B. Access |
2303 |
url="http://freeradius.org/">FreeRADIUS</ulink>-Server. Clients (z.B. Access |
| 2304 |
Points) können den Server via RADIUS kontaktieren und Netzwerkzugangsanfragen |
2304 |
Points) können den Server via RADIUS kontaktieren und Netzwerkzugangsanfragen |
| 2305 |
prüfen. |
2305 |
prüfen. |
| 2306 |
</para> |
2306 |
</para> |
| 2307 |
<para> |
2307 |
<para> |
| 2308 |
Die RADIUS App kann auch auf UCS@school Systemen installiert werden. In diesem |
2308 |
Die RADIUS-App kann auch auf &ucsUAS;-Systemen installiert werden. In diesem |
| 2309 |
Fall kann der Netzwerkzugang unabhängig von Internetregeln oder |
2309 |
Fall kann der Netzwerkzugang unabhängig von Internetregeln oder |
| 2310 |
Computerraum-Einstellungen für Benutzer und Gruppen geregelt werden. |
2310 |
Computerraum-Einstellungen für Benutzer und Gruppen geregelt werden. |
| 2311 |
</para> |
2311 |
</para> |
| 2312 |
</section> |
2312 |
</section> |
| 2313 |
<section id="ip-config:radius:configuration"> |
2313 |
<section id="ip-config:radius:configuration"> |
| 2314 |
<title>Konfiguration</title> |
2314 |
<title>Konfiguration</title> |
| 2315 |
<section id="ip-config:radius:configuration:allowed-users"> |
2315 |
<section id="ip-config:radius:configuration:allowed-users"> |
| 2316 |
<title>Erlaubte Benutzer</title> |
2316 |
<title>Erlaubte Benutzer</title> |
| 2317 |
<para> |
2317 |
<para> |
| 2318 |
Standardmäßig hat kein Benutzer Zugang zum Netzwerk. Indem die Checkbox für |
2318 |
Standardmäßig wird keinem Benutzer der Zugang zum Netzwerk gewährt. Indem die Checkbox für |
| 2319 |
<guimenu>Netzwerkzugriff erlaubt</guimenu> im <guimenu>RADIUS</guimenu> Reiter |
2319 |
<guimenu>Netzwerkzugriff erlaubt</guimenu> im Reiter <guimenu>RADIUS</guimenu> |
| 2320 |
aktiviert wird, erhält der Benutzer Zugriff auf das Netzwerk. Die Checkbox kann |
2320 |
aktiviert wird, erhält der Benutzer Zugriff auf das Netzwerk. Die Checkbox kann |
| 2321 |
auch für Gruppen gesetzt werden, so dass alle Benutzer in der Gruppe Zugang |
2321 |
auch für Gruppen gesetzt werden, so dass alle Benutzer in der Gruppe Zugang |
| 2322 |
erlangen. |
2322 |
erlangen. |
| 2323 |
</para> |
2323 |
</para> |
| 2324 |
<para> |
2324 |
<para> |
| 2325 |
<figure id="ip-config:radius:group"> |
2325 |
<figure id="ip-config:radius:group"> |
| 2326 |
<title>Beispiel für eine Gruppe, die ihren Benutzern Zugang gewährt</title> |
2326 |
<title>Beispiel für eine Gruppe, die ihren Benutzern Zugang gewährt</title> |
| 2327 |
<graphic fileref="illustrations42/radius-group-allow-network_DE.png" scalefit="1" width="100%"/> |
2327 |
<graphic fileref="illustrations42/radius-group-allow-network_DE.png" scalefit="1" width="100%"/> |
| 2328 |
</figure> |
2328 |
</figure> |
|
Lines 2350-2388
dansguardian -g
Link Here
|
| 2350 |
den Befehl <command>makepasswd</command>.) Der <literal>shortname</literal> |
2350 |
den Befehl <command>makepasswd</command>.) Der <literal>shortname</literal> |
| 2351 |
kann frei gewählt werden. Beispiel für einen Eintrag für einen Access Point: |
2351 |
kann frei gewählt werden. Beispiel für einen Eintrag für einen Access Point: |
| 2352 |
<programlisting> |
2352 |
<programlisting> |
| 2353 |
client 192.168.100.101 { |
2353 |
client 192.168.100.101 { |
| 2354 |
secret = a9RPAeVG |
2354 |
secret = a9RPAeVG |
| 2355 |
shortname = AP01 |
2355 |
shortname = AP01 |
| 2356 |
} |
2356 |
} |
| 2357 |
</programlisting> |
2357 |
</programlisting> |
| 2358 |
Die Access Points müssen so konfiguriert sein, dass sie 802.1x ("WPA |
2358 |
Die Access Points müssen so konfiguriert sein, dass sie 802.1x ("WPA |
| 2359 |
Enterprise") Authentisierung verwenden. Und die "RADIUS Server" Adresse sollte |
2359 |
Enterprise") Authentisierung verwenden. Und die "RADIUS Server"-Adresse sollte |
| 2360 |
auf die Adresse des Servers gesetzt sein, auf dem die RADIUS App installiert |
2360 |
auf die Adresse des Servers gesetzt sein, auf dem die RADIUS-App installiert |
| 2361 |
ist. Das Passwort muss auf den Wert für <literal>secret</literal> aus dem |
2361 |
ist. Das Passwort muss auf den Wert für <literal>secret</literal> aus dem |
| 2362 |
Eintrag in der <filename>clients.conf</filename> gesetzt sein. |
2362 |
Eintrag in der <filename>clients.conf</filename> gesetzt sein. |
| 2363 |
</para> |
2363 |
</para> |
| 2364 |
</section> |
2364 |
</section> |
| 2365 |
<section id="ip-config:radius:configuration:clients"> |
2365 |
<section id="ip-config:radius:configuration:clients"> |
| 2366 |
<title>Clients</title> |
2366 |
<title>Clients</title> |
| 2367 |
<para> |
2367 |
<para> |
| 2368 |
WiFi Clients müssen so konfiguriert sein, dass sie <emphasis>WPA</emphasis> mit |
2368 |
WiFi-Clients müssen so konfiguriert sein, dass sie <emphasis>WPA</emphasis> mit |
| 2369 |
<emphasis>PEAP</emphasis> und <emphasis>MSCHAPv2</emphasis> für die |
2369 |
<emphasis>PEAP</emphasis> und <emphasis>MSCHAPv2</emphasis> für die |
| 2370 |
Authentisierung verwenden. |
2370 |
Authentisierung verwenden. |
| 2371 |
</para> |
2371 |
</para> |
| 2372 |
</section> |
2372 |
</section> |
| 2373 |
</section> |
2373 |
</section> |
| 2374 |
<section id="ip-config:radius:debugging"> |
2374 |
<section id="ip-config:radius:debugging"> |
| 2375 |
<title>Fehlersuche</title> |
2375 |
<title>Fehlersuche</title> |
| 2376 |
<para> |
2376 |
<para> |
| 2377 |
Das Werkzeug <package>univention-radius-check-access</package> kann zur |
2377 |
Das Werkzeug <package>univention-radius-check-access</package> kann zur |
| 2378 |
Untersuchung der aktuellen Zugangsregeln für einen bestimmten Benutzer und/oder |
2378 |
Untersuchung der aktuellen Zugangsregeln für einen bestimmten Benutzer und/oder |
| 2379 |
eine MAC Adresse verwendet werden. Es kann als Benutzer root auf dem Server |
2379 |
eine MAC-Adresse verwendet werden. Es kann als Benutzer root auf dem Server |
| 2380 |
ausgeführt werden, wo das Paket <package>univention-radius</package> |
2380 |
ausgeführt werden, wo das Paket <package>univention-radius</package> |
| 2381 |
installiert ist. |
2381 |
installiert ist. |
| 2382 |
<programlisting language="sh"> |
2382 |
<programlisting language="sh"> |
| 2383 |
root@master211:~# univention-radius-check-access --username=stefan |
2383 |
root@master211:~# univention-radius-check-access --username=stefan |
| 2384 |
DENY 'uid=stefan,cn=users,dc=ucs,dc=local' |
2384 |
DENY 'uid=stefan,cn=users,dc=ucs,dc=local' |
| 2385 |
'uid=stefan,cn=users,dc=ucs,dc=local' |
2385 |
'uid=stefan,cn=users,dc=ucs,dc=local' |
| 2386 |
-> DENY 'cn=Domain Users,cn=groups,dc=ucs,dc=local' |
2386 |
-> DENY 'cn=Domain Users,cn=groups,dc=ucs,dc=local' |
| 2387 |
-> 'cn=Domain Users,cn=groups,dc=ucs,dc=local' |
2387 |
-> 'cn=Domain Users,cn=groups,dc=ucs,dc=local' |
| 2388 |
-> -> DENY 'cn=Users,cn=Builtin,dc=ucs,dc=local' |
2388 |
-> -> DENY 'cn=Users,cn=Builtin,dc=ucs,dc=local' |