|
2278 |
|
2278 |
|
2279 |
</section> |
2279 |
</section> |
2280 |
|
2280 |
|
2281 |
</section> |
2281 |
</section> |
2282 |
|
2282 |
|
2283 |
<section id="ip-config:radius"> |
2283 |
<section id="ip-config:radius"> |
2284 |
<title>RADIUS</title> |
2284 |
<title>RADIUS</title> |
2285 |
<para> |
2285 |
<para> |
2286 |
Die RADIUS App erhöht die Sicherheit für mit UCS verwaltete IT-Infrastrukturen |
2286 |
Die RADIUS App erhöht die Sicherheit für mit UCS verwaltete IT-Infrastrukturen |
2287 |
durch Zugangskontrollen zu WiFi Netzwerken für Benutzer, Gruppen und Endgeräte |
2287 |
durch Zugangskontrollen zu WiFi-Netzen für Benutzer, Gruppen und Endgeräte |
2288 |
über das <ulink |
2288 |
über das <ulink |
2289 |
url="https://de.wikipedia.org/wiki/Remote_Authentication_Dial-In_User_Service">RADIUS |
2289 |
url="https://de.wikipedia.org/wiki/Remote_Authentication_Dial-In_User_Service">RADIUS |
2290 |
Protokoll</ulink>. Die Konfiguration erfolgt über Blacklisten und Whitelisten |
2290 |
Protokoll</ulink>. Die Konfiguration erfolgt über Blacklisten und Whitelisten |
2291 |
direkt am Benutzer-, Gruppen- oder Endgeräte-Objekt im UCS Managementsystem. |
2291 |
direkt am Benutzer-, Gruppen- oder Endgeräte-Objekt im UCS-Managementsystem. |
2292 |
Registrierte Benutzer werden mit ihrem üblichen Domänenpasswort |
2292 |
Registrierte Benutzer authentisieren sich mit ihrem üblichen Domänenpasswort, |
2293 |
authentisiert, so dass unter anderem Bring Your Own Device Konzepte ermöglicht |
2293 |
so dass unter anderem "Bring Your Own Device"-Konzepte ermöglicht |
2294 |
werden. |
2294 |
werden. |
2295 |
</para> |
2295 |
</para> |
2296 |
<section id="ip-config:radius:installation"> |
2296 |
<section id="ip-config:radius:installation"> |
2297 |
<title>Installation</title> |
2297 |
<title>Installation</title> |
2298 |
<para> |
2298 |
<para> |
2299 |
RADIUS steht über das App Center (siehe <xref linkend="software:appcenter"/>) |
2299 |
RADIUS steht über das App Center (siehe <xref linkend="software:appcenter"/>) |
2300 |
zur Verfügung und kann über das entsprechende &ucsUMC; Modul App Center |
2300 |
zur Verfügung und kann über das entsprechende &ucsUMC;-Modul <guimenu>App Center</guimenu> |
2301 |
installiert werden. Die App kann auf mehreren Systemen installiert werden. Nach |
2301 |
installiert werden. Die App kann auf mehreren Systemen installiert werden. Nach |
2302 |
der Installation startet die App einen <ulink |
2302 |
der Installation startet die App einen <ulink |
2303 |
url="http://freeradius.org/">FreeRADIUS</ulink> Server. Clients (z.B. Access |
2303 |
url="http://freeradius.org/">FreeRADIUS</ulink>-Server. Clients (z.B. Access |
2304 |
Points) können den Server via RADIUS kontaktieren und Netzwerkzugangsanfragen |
2304 |
Points) können den Server via RADIUS kontaktieren und Netzwerkzugangsanfragen |
2305 |
prüfen. |
2305 |
prüfen. |
2306 |
</para> |
2306 |
</para> |
2307 |
<para> |
2307 |
<para> |
2308 |
Die RADIUS App kann auch auf UCS@school Systemen installiert werden. In diesem |
2308 |
Die RADIUS-App kann auch auf &ucsUAS;-Systemen installiert werden. In diesem |
2309 |
Fall kann der Netzwerkzugang unabhängig von Internetregeln oder |
2309 |
Fall kann der Netzwerkzugang unabhängig von Internetregeln oder |
2310 |
Computerraum-Einstellungen für Benutzer und Gruppen geregelt werden. |
2310 |
Computerraum-Einstellungen für Benutzer und Gruppen geregelt werden. |
2311 |
</para> |
2311 |
</para> |
2312 |
</section> |
2312 |
</section> |
2313 |
<section id="ip-config:radius:configuration"> |
2313 |
<section id="ip-config:radius:configuration"> |
2314 |
<title>Konfiguration</title> |
2314 |
<title>Konfiguration</title> |
2315 |
<section id="ip-config:radius:configuration:allowed-users"> |
2315 |
<section id="ip-config:radius:configuration:allowed-users"> |
2316 |
<title>Erlaubte Benutzer</title> |
2316 |
<title>Erlaubte Benutzer</title> |
2317 |
<para> |
2317 |
<para> |
2318 |
Standardmäßig hat kein Benutzer Zugang zum Netzwerk. Indem die Checkbox für |
2318 |
Standardmäßig wird keinem Benutzer der Zugang zum Netzwerk gewährt. Indem die Checkbox für |
2319 |
<guimenu>Netzwerkzugriff erlaubt</guimenu> im <guimenu>RADIUS</guimenu> Reiter |
2319 |
<guimenu>Netzwerkzugriff erlaubt</guimenu> im Reiter <guimenu>RADIUS</guimenu> |
2320 |
aktiviert wird, erhält der Benutzer Zugriff auf das Netzwerk. Die Checkbox kann |
2320 |
aktiviert wird, erhält der Benutzer Zugriff auf das Netzwerk. Die Checkbox kann |
2321 |
auch für Gruppen gesetzt werden, so dass alle Benutzer in der Gruppe Zugang |
2321 |
auch für Gruppen gesetzt werden, so dass alle Benutzer in der Gruppe Zugang |
2322 |
erlangen. |
2322 |
erlangen. |
2323 |
</para> |
2323 |
</para> |
2324 |
<para> |
2324 |
<para> |
2325 |
<figure id="ip-config:radius:group"> |
2325 |
<figure id="ip-config:radius:group"> |
2326 |
<title>Beispiel für eine Gruppe, die ihren Benutzern Zugang gewährt</title> |
2326 |
<title>Beispiel für eine Gruppe, die ihren Benutzern Zugang gewährt</title> |
2327 |
<graphic fileref="illustrations42/radius-group-allow-network_DE.png" scalefit="1" width="100%"/> |
2327 |
<graphic fileref="illustrations42/radius-group-allow-network_DE.png" scalefit="1" width="100%"/> |
2328 |
</figure> |
2328 |
</figure> |
|
2350 |
den Befehl <command>makepasswd</command>.) Der <literal>shortname</literal> |
2350 |
den Befehl <command>makepasswd</command>.) Der <literal>shortname</literal> |
2351 |
kann frei gewählt werden. Beispiel für einen Eintrag für einen Access Point: |
2351 |
kann frei gewählt werden. Beispiel für einen Eintrag für einen Access Point: |
2352 |
<programlisting> |
2352 |
<programlisting> |
2353 |
client 192.168.100.101 { |
2353 |
client 192.168.100.101 { |
2354 |
secret = a9RPAeVG |
2354 |
secret = a9RPAeVG |
2355 |
shortname = AP01 |
2355 |
shortname = AP01 |
2356 |
} |
2356 |
} |
2357 |
</programlisting> |
2357 |
</programlisting> |
2358 |
Die Access Points müssen so konfiguriert sein, dass sie 802.1x ("WPA |
2358 |
Die Access Points müssen so konfiguriert sein, dass sie 802.1x ("WPA |
2359 |
Enterprise") Authentisierung verwenden. Und die "RADIUS Server" Adresse sollte |
2359 |
Enterprise") Authentisierung verwenden. Und die "RADIUS Server"-Adresse sollte |
2360 |
auf die Adresse des Servers gesetzt sein, auf dem die RADIUS App installiert |
2360 |
auf die Adresse des Servers gesetzt sein, auf dem die RADIUS-App installiert |
2361 |
ist. Das Passwort muss auf den Wert für <literal>secret</literal> aus dem |
2361 |
ist. Das Passwort muss auf den Wert für <literal>secret</literal> aus dem |
2362 |
Eintrag in der <filename>clients.conf</filename> gesetzt sein. |
2362 |
Eintrag in der <filename>clients.conf</filename> gesetzt sein. |
2363 |
</para> |
2363 |
</para> |
2364 |
</section> |
2364 |
</section> |
2365 |
<section id="ip-config:radius:configuration:clients"> |
2365 |
<section id="ip-config:radius:configuration:clients"> |
2366 |
<title>Clients</title> |
2366 |
<title>Clients</title> |
2367 |
<para> |
2367 |
<para> |
2368 |
WiFi Clients müssen so konfiguriert sein, dass sie <emphasis>WPA</emphasis> mit |
2368 |
WiFi-Clients müssen so konfiguriert sein, dass sie <emphasis>WPA</emphasis> mit |
2369 |
<emphasis>PEAP</emphasis> und <emphasis>MSCHAPv2</emphasis> für die |
2369 |
<emphasis>PEAP</emphasis> und <emphasis>MSCHAPv2</emphasis> für die |
2370 |
Authentisierung verwenden. |
2370 |
Authentisierung verwenden. |
2371 |
</para> |
2371 |
</para> |
2372 |
</section> |
2372 |
</section> |
2373 |
</section> |
2373 |
</section> |
2374 |
<section id="ip-config:radius:debugging"> |
2374 |
<section id="ip-config:radius:debugging"> |
2375 |
<title>Fehlersuche</title> |
2375 |
<title>Fehlersuche</title> |
2376 |
<para> |
2376 |
<para> |
2377 |
Das Werkzeug <package>univention-radius-check-access</package> kann zur |
2377 |
Das Werkzeug <package>univention-radius-check-access</package> kann zur |
2378 |
Untersuchung der aktuellen Zugangsregeln für einen bestimmten Benutzer und/oder |
2378 |
Untersuchung der aktuellen Zugangsregeln für einen bestimmten Benutzer und/oder |
2379 |
eine MAC Adresse verwendet werden. Es kann als Benutzer root auf dem Server |
2379 |
eine MAC-Adresse verwendet werden. Es kann als Benutzer root auf dem Server |
2380 |
ausgeführt werden, wo das Paket <package>univention-radius</package> |
2380 |
ausgeführt werden, wo das Paket <package>univention-radius</package> |
2381 |
installiert ist. |
2381 |
installiert ist. |
2382 |
<programlisting language="sh"> |
2382 |
<programlisting language="sh"> |
2383 |
root@master211:~# univention-radius-check-access --username=stefan |
2383 |
root@master211:~# univention-radius-check-access --username=stefan |
2384 |
DENY 'uid=stefan,cn=users,dc=ucs,dc=local' |
2384 |
DENY 'uid=stefan,cn=users,dc=ucs,dc=local' |
2385 |
'uid=stefan,cn=users,dc=ucs,dc=local' |
2385 |
'uid=stefan,cn=users,dc=ucs,dc=local' |
2386 |
-> DENY 'cn=Domain Users,cn=groups,dc=ucs,dc=local' |
2386 |
-> DENY 'cn=Domain Users,cn=groups,dc=ucs,dc=local' |
2387 |
-> 'cn=Domain Users,cn=groups,dc=ucs,dc=local' |
2387 |
-> 'cn=Domain Users,cn=groups,dc=ucs,dc=local' |
2388 |
-> -> DENY 'cn=Users,cn=Builtin,dc=ucs,dc=local' |
2388 |
-> -> DENY 'cn=Users,cn=Builtin,dc=ucs,dc=local' |