</section>

	</section>

  </section>

  </section>

	<section id="ip-config:radius">

	<section id="ip-config:radius">

		<title>RADIUS</title>

		<title>RADIUS</title>

		<para>

		<para>

			Die RADIUS App erhöht die Sicherheit für mit UCS verwaltete IT-Infrastrukturen

			Die RADIUS App erhöht die Sicherheit für mit UCS verwaltete IT-Infrastrukturen

			über das <ulink

			über das <ulink

			url="https://de.wikipedia.org/wiki/Remote_Authentication_Dial-In_User_Service">RADIUS

			url="https://de.wikipedia.org/wiki/Remote_Authentication_Dial-In_User_Service">RADIUS

			Protokoll</ulink>. Die Konfiguration erfolgt über Blacklisten und Whitelisten

			Protokoll</ulink>. Die Konfiguration erfolgt über Blacklisten und Whitelisten

			werden.

			werden.

		</para>

		</para>

		<section id="ip-config:radius:installation">

		<section id="ip-config:radius:installation">

			<title>Installation</title>

			<title>Installation</title>

			<para>

			<para>

				RADIUS steht über das App Center (siehe <xref linkend="software:appcenter"/>)

				RADIUS steht über das App Center (siehe <xref linkend="software:appcenter"/>)

				installiert werden. Die App kann auf mehreren Systemen installiert werden. Nach

				installiert werden. Die App kann auf mehreren Systemen installiert werden. Nach

				der Installation startet die App einen <ulink

				der Installation startet die App einen <ulink

				Points) können den Server via RADIUS kontaktieren und Netzwerkzugangsanfragen

				Points) können den Server via RADIUS kontaktieren und Netzwerkzugangsanfragen

				prüfen.

				prüfen.

			</para>

			</para>

			<para>

			<para>

				Fall kann der Netzwerkzugang unabhängig von Internetregeln oder

				Fall kann der Netzwerkzugang unabhängig von Internetregeln oder

				Computerraum-Einstellungen für Benutzer und Gruppen geregelt werden.

				Computerraum-Einstellungen für Benutzer und Gruppen geregelt werden.

			</para>

			</para>

		</section>

		</section>

		<section id="ip-config:radius:configuration">

		<section id="ip-config:radius:configuration">

			<title>Konfiguration</title>

			<title>Konfiguration</title>

			<section id="ip-config:radius:configuration:allowed-users">

			<section id="ip-config:radius:configuration:allowed-users">

				<title>Erlaubte Benutzer</title>

				<title>Erlaubte Benutzer</title>

				<para>

				<para>

					aktiviert wird, erhält der Benutzer Zugriff auf das Netzwerk. Die Checkbox kann

					aktiviert wird, erhält der Benutzer Zugriff auf das Netzwerk. Die Checkbox kann

					auch für Gruppen gesetzt werden, so dass alle Benutzer in der Gruppe Zugang

					auch für Gruppen gesetzt werden, so dass alle Benutzer in der Gruppe Zugang

					erlangen.

					erlangen.

				</para>

				</para>

				<para>

				<para>

					<figure id="ip-config:radius:group">

					<figure id="ip-config:radius:group">

						<title>Beispiel für eine Gruppe, die ihren Benutzern Zugang gewährt</title>

						<title>Beispiel für eine Gruppe, die ihren Benutzern Zugang gewährt</title>

						<graphic fileref="illustrations42/radius-group-allow-network_DE.png" scalefit="1" width="100%"/>

						<graphic fileref="illustrations42/radius-group-allow-network_DE.png" scalefit="1" width="100%"/>

					</figure>

					</figure>

					den Befehl <command>makepasswd</command>.) Der <literal>shortname</literal>

					den Befehl <command>makepasswd</command>.) Der <literal>shortname</literal>

					kann frei gewählt werden. Beispiel für einen Eintrag für einen Access Point:

					kann frei gewählt werden. Beispiel für einen Eintrag für einen Access Point:

<programlisting>

<programlisting>

client 192.168.100.101 {

client 192.168.100.101 {

	secret = a9RPAeVG

	secret = a9RPAeVG

	shortname = AP01

	shortname = AP01

}

}

</programlisting>

</programlisting>

					Die Access Points müssen so konfiguriert sein, dass sie 802.1x ("WPA

					Die Access Points müssen so konfiguriert sein, dass sie 802.1x ("WPA

					ist. Das Passwort muss auf den Wert für <literal>secret</literal> aus dem

					ist. Das Passwort muss auf den Wert für <literal>secret</literal> aus dem

					Eintrag in der <filename>clients.conf</filename> gesetzt sein.

					Eintrag in der <filename>clients.conf</filename> gesetzt sein.

				</para>

				</para>

			</section>

			</section>

			<section id="ip-config:radius:configuration:clients">

			<section id="ip-config:radius:configuration:clients">

				<title>Clients</title>

				<title>Clients</title>

				<para>

				<para>

					<emphasis>PEAP</emphasis> und <emphasis>MSCHAPv2</emphasis> für die

					<emphasis>PEAP</emphasis> und <emphasis>MSCHAPv2</emphasis> für die

					Authentisierung verwenden.

					Authentisierung verwenden.

				</para>

				</para>

			</section>

			</section>

		</section>

		</section>

		<section id="ip-config:radius:debugging">

		<section id="ip-config:radius:debugging">

			<title>Fehlersuche</title>

			<title>Fehlersuche</title>

			<para>

			<para>

				Das Werkzeug <package>univention-radius-check-access</package> kann zur

				Das Werkzeug <package>univention-radius-check-access</package> kann zur

				Untersuchung der aktuellen Zugangsregeln für einen bestimmten Benutzer und/oder

				Untersuchung der aktuellen Zugangsregeln für einen bestimmten Benutzer und/oder

				ausgeführt werden, wo das Paket <package>univention-radius</package>

				ausgeführt werden, wo das Paket <package>univention-radius</package>

				installiert ist.

				installiert ist.

<programlisting language="sh">

<programlisting language="sh">

root@master211:~# univention-radius-check-access --username=stefan

root@master211:~# univention-radius-check-access --username=stefan

DENY 'uid=stefan,cn=users,dc=ucs,dc=local'

DENY 'uid=stefan,cn=users,dc=ucs,dc=local'

'uid=stefan,cn=users,dc=ucs,dc=local'

'uid=stefan,cn=users,dc=ucs,dc=local'

-> DENY 'cn=Domain Users,cn=groups,dc=ucs,dc=local'

-> DENY 'cn=Domain Users,cn=groups,dc=ucs,dc=local'

-> 'cn=Domain Users,cn=groups,dc=ucs,dc=local'

-> 'cn=Domain Users,cn=groups,dc=ucs,dc=local'

-> -> DENY 'cn=Users,cn=Builtin,dc=ucs,dc=local'

-> -> DENY 'cn=Users,cn=Builtin,dc=ucs,dc=local'

		protocol</ulink>. The configuration is done via black and white lists and

		protocol</ulink>. The configuration is done via black and white lists and

		directly at user, group and endpoint device objects in the UCS management

		directly at user, group and endpoint device objects in the UCS management

		system. Registered users are authenticated with their usual domain credentials,

		system. Registered users are authenticated with their usual domain credentials,

		which, among others, also allows bring your own device concepts.

		which, among others, also allows bring your own device concepts.

	</para>

	</para>

	  <section id="ip-config:radius:installation">

	  <section id="ip-config:radius:installation">

		  <title>Installation</title>

		  <title>Installation</title>

		  <para>

		  <para>

			RADIUS is available through the App Center (see <xref linkend="software:appcenter"/>)

			RADIUS is available through the App Center (see <xref linkend="software:appcenter"/>)

			installed on multiple machines. After the installation it runs a <ulink

			installed on multiple machines. After the installation it runs a <ulink

			url="http://freeradius.org/">FreeRADIUS</ulink> server. Clients (e.g.  access

			url="http://freeradius.org/">FreeRADIUS</ulink> server. Clients (e.g.  access

			points) can contact via RADIUS to check network access requests.

			points) can contact via RADIUS to check network access requests.

		  </para>

		  </para>

		  <para>

		  <para>

			this case, the network access can be given to users or groups regardless of the

			this case, the network access can be given to users or groups regardless of the

			Internet rule or computer room settings.

			Internet rule or computer room settings.

		  </para>

		  </para>

	  </section>

	  </section>

	  <section id="ip-config:radius:configuration">

	  <section id="ip-config:radius:configuration">

		  <title>Configuration</title>

		  <title>Configuration</title>

		  <section id="ip-config:radius:configuration:allowed-users">

		  <section id="ip-config:radius:configuration:allowed-users">

			  <title>Allowed users</title>

			  <title>Allowed users</title>

			  <para>

			  <para>