Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Änderung der Autorisierung (CoA)

Entdecken Sie die Vorteile eines CoA-Servers (Change of Authorization) zu Ihrem WLAN.

Mit Change of Authorization (CoA) können Sie autorisierte RADIUS-Sitzungen nach der ersten Authentifizierung ändern, um die sich ändernden Zugriffsanforderungen zu erfüllen. CoA kann beispielsweise Anwendungsfälle wie vom Administrator initiierte Sitzungszurücksetzungen ermöglichen, um Sitzungen zu beenden. CoA kann auch verwendet werden, um Benutzern aktualisierten Zugriff zu gewähren, nachdem sie die Gastregistrierung erfolgreich abgeschlossen haben.

Vorteile der Änderung der Autorisierung (Change of Authorization, CoA) in RADIUS

Vorteile der Änderung der Autorisierung (Change of Authorization, CoA) in RADIUS:

  • Verbessert die Kontrolle über aktive Benutzersitzungen: Da der RADIUS-Server unaufgefordert Nachrichten an das NAS senden kann, können Sie mit CoA die Sitzungsmerkmale nach der ersten Authentifizierung ändern. Diese erweiterte Steuerung kann verwendet werden, um Benutzersitzungen nach Bedarf zu beenden oder erneut zu autorisieren.

  • Überwindet die Einschränkungen des Standard-RADIUS-Protokolls: Das Standard-RADIUS-Protokoll lässt nur zu, dass Nachrichten vom NAS initiiert werden. CoA erweitert diese Funktionalität und bietet einen flexibleren und dynamischeren Ansatz für das Sitzungsmanagement.

  • Optimiert die Netzwerkverwaltung: Die Funktion "Disconnect Message" von CoA ermöglicht effiziente Sitzungs-Resets. Das spart nicht nur Zeit und Ressourcen, sondern vereinfacht auch die administrativen Aufgaben.

  • Erleichtert die Verwaltung des Gastzugriffs: Die Funktion "CoA Re-Auth Message" kann verwendet werden, um vollen Netzwerkzugriff zu gewähren, nachdem sich ein Gastbenutzer über ein Captive Portal registriert hat, wodurch die Verwaltung des Gastzugriffs reibungsloser und effektiver wird.

  • Unterstützt anbieterspezifische Attribute: Die Kompatibilität von CoA mit anbieterspezifischen Attributen ermöglicht eine effektive Interoperabilität zwischen dem RADIUS-Server und NAS-Geräten beim Senden von CoA-Nachrichten. Dies trägt zu einem reibungslosen und effizienten Netzwerkbetrieb bei.

CoA in den WLAN-Einstellungen aktivieren

Gehen Sie in den WLAN-Einstellungen zum Abschnitt CoA/DM-Server , um diese Funktion zu aktivieren. Geben Sie die IP-Adresse und den gemeinsamen geheimen Schlüssel ein. Sie können den Standardwert für den Port beibehalten oder einen Port angeben.

CoA/DM Server Fields on the Edit/Create WLAN Page
Anmerkung:

Weitere Hilfe zu WLAN-Einstellungen finden Sie unter Konfigurieren einer WLAN-Vorlage und WLAN-Optionen.

So funktioniert CoA

Wenn Sie die Funktion "Change of Authorization" (CoA) in Ihrer RADIUS-Umgebung implementieren, ermächtigen Sie den RADIUS-Server, aktiv unerwünschte Nachrichten an den Network Access Server (NAS) zu senden, um die Sitzungsmerkmale nach dem ersten Authentifizierungsprozess zu ändern. Dieser proaktive Ansatz behebt die Einschränkungen des Standard-RADIUS-Protokolls, das es traditionell nur dem NAS erlaubt, Nachrichten zu initiieren.

In der CoA-Funktionalität gibt es zwei primäre Nachrichtentypen, die Sie nutzen können:

  • Nachricht trennen: Dieser Nachrichtentyp wurde entwickelt, um Benutzersitzungen zu beenden, indem das Acct-Terminate-Cause Attribut in die Nachricht aufgenommen wird. Eine wichtige Anwendung dieser Funktion ist, wenn Sie Sitzungen aus verschiedenen Gründen zurücksetzen müssen.

  • CoA Re-Auth Message: Dieser Meldungstyp fordert das NAS auf, eine Sitzung erneut zu autorisieren. In Szenarien wie dem Gastzugriff ist dies besonders nützlich, wenn ein Gastbenutzer die Registrierung über ein Captive Portal abschließt und das Netzwerk ihm folglich vollen Zugriff gewährt. Um den Befehl zur erneuten Autorisierung effektiv zu übermitteln, werden in der Nachricht herstellerspezifische Attribute verwendet.

Um eine nahtlose Interoperabilität zwischen dem RADIUS-Server und NAS-Geräten zu gewährleisten, müssen Sie möglicherweise die Unterstützung für bestimmte Herstellerattribute aktivieren. Auf diese Weise erleichtern Sie das reibungslose Funktionieren von CoA-Nachrichten innerhalb Ihrer Netzwerkinfrastruktur.

Zusammenfassend lässt sich sagen, dass Sie durch die Integration der CoA-Funktion in Ihre RADIUS-Umgebung Folgendes erreichen können:

  • Ermöglichen Sie RADIUS-Servern, Sitzungen nach der Authentifizierung aktiv zu ändern und so die Einschränkungen des Standardprotokolls zu überwinden.

  • Nutzen Sie zwei Schlüsselmeldungstypen (Disconnect und CoA Re-Auth), um verschiedene Sitzungsszenarien effektiv zu verwalten.

  • Behandeln Sie verschiedene Anwendungsszenarien, wie z. B. vom Administrator initiiertes Zurücksetzen von Sitzungen und das Gewähren des vollen Netzwerkzugriffs für Gastbenutzer nach der Registrierung.

  • Nutzen Sie herstellerspezifische Attribute, um eine optimale Kompatibilität und Funktionalität von CoA über verschiedene Netzwerkgeräte hinweg zu gewährleisten.

Mit diesem Ansatz können Sie eine dynamischere und reaktionsschnellere Netzwerkumgebung schaffen, die in der Lage ist, verschiedene Anforderungen an das Sitzungsmanagement zu erfüllen und Ihren Benutzern eine robuste, sichere Erfahrung zu bieten.

Nachrichtenfluss

  1. Meldung zum Trennen der Verbindung: Sitzungsbeendigung

    • AVP: Acct-Terminate-Cuase

    • Wert: Admin-Reset

    Disconnect-Request and Disconnect-ACK/NAKDisconnect-Request Example

  2. CoA: Erneute Authentifizierung der Sitzung

    CoA-Request and CoA-ACK/NAKCoA-Request Example

    • AVP: Anbieterspezifisch (Cisco-AVP)

    • Wert: Erneut authentifizieren

    CoA-Meldungen, die nicht auf Juniper Mist zutreffen:

    • Sitzungsbeendigung mit Port-Shut

    • Sitzungsterminierung mit Port-Bounce

Zugehörige Dokumentation