Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Grundlegendes zu Authentifizierungsprofilen

Authentifizierungsprofile umfassen die Authentifizierungsmethode und die Authentifizierungsparameter, die für die Clientauthentifizierung verwendet werden sollen. Verfügbare Authentifizierungsmethoden sind 802.1X (dot1x), MAC-RADIUS, Captive Portal und Last-Resort. 802.1X ist die Standardauthentifizierungsmethode für alle Gerätetypen, Sie können diese jedoch ändern oder zusätzliche Authentifizierungstypen hinzufügen. Wenn Sie mehrere Authentifizierungsmethoden auf einer einzelnen Schnittstelle konfigurieren, versucht das System die erste aufgeführte Methode und greift dann auf eine andere Methode zurück, wenn die erste Methode nicht erfolgreich ist.

Sie können ein oder mehrere Authentifizierungsprofile erstellen, um unterschiedliche Authentifizierungsmethoden basierend auf Clientgeräten oder Sitzungen anzugeben.

Jedes Authentifizierungsprofil ist spezifisch für eine Gerätefamilie. Nachdem Sie ein Authentifizierungsprofil erstellt haben, können Sie es in ein Portprofil aufnehmen. Das in einem Portprofil angegebene Authentifizierungsprofil wird verwendet, um alle Benutzer und Geräte zu authentifizieren, die eine Verbindung mit dem Port herstellen.

802.1X-Authentifizierung

Neuere Geräte unterstützen den IEE-Standard 802.1X. 802.1X ist im Grunde ein Authentifizierungsmechanismus für Unternehmen pro Benutzer (Benutzername und Passwort) – es ist sowohl die neueste als auch die stärkste Authentifizierung, die Sie verwenden können. Da die 802.1X-Authentifizierung die sicherste Authentifizierungsoption ist, ist sie der älteren PSK-Authentifizierung, den Webportalen, der MAC-Authentifizierung oder der offenen Authentifizierung vorzuziehen, was eigentlich keine Authentifizierung bedeutet.

An der 802.1X-Authentifizierung sind drei Entitäten beteiligt: ein Supplicant, ein Authentifikator und ein Authentifizierungsserver. Der Supplicant ist ein Client-Gerät, z. B. ein Laptop, das an ein Netzwerk angeschlossen werden möchte. Der Authentifikator wäre ein Switch. Der Authentifizierungsserver ist in der Regel ein RADIUS-Server, der 802.1X-EAP-Modi interpretieren kann.

  • Im Single-Supplicant-Modus wird nur das erste Endgerät authentifiziert, das eine Verbindung zu einem Authentifikator-Port herstellt. Alle anderen Endgeräte, die sich nach erfolgreicher Verbindung mit dem ersten mit dem Authentifikator-Port verbinden, unabhängig davon, ob sie 802.1X-fähig sind oder nicht, haben ohne weitere Authentifizierung freien Zugriff auf den Port. Meldet sich das erste authentifizierte Endgerät ab, werden alle anderen Endgeräte gesperrt, bis sich ein Endgerät authentifiziert.

  • Der Single-Secure-Supplicant-Modus authentifiziert nur ein Endgerät, um eine Verbindung zu einem Authentifikator-Port herzustellen. Kein anderes Endgerät kann sich mit dem Authentifikator-Port verbinden, bis sich das erste abmeldet.

  • Der Multiple-Supplicant-Modus authentifiziert mehrere Endgeräte einzeln an einem Authentifikator-Port. Wenn Sie eine maximale Anzahl von Geräten konfigurieren, die über die Portsicherheit mit einem Port verbunden werden können, wird der kleinere der konfigurierten Werte verwendet, um die maximal zulässige Anzahl von Endgeräten pro Port zu bestimmen.

MAC RADIUS-Authentifizierung

Eine MAC-Adresse (Media Access Control Address) ist eine eindeutige Kennung, die Netzwerkschnittstellen für die Kommunikation im physischen Netzwerksegment zugewiesen wird. MAC-Adressen werden als Netzwerkadresse für die meisten IEEE 802-Netzwerktechnologien, einschließlich Ethernet, verwendet. Die MAC-Adresse eines Clients kann für die Authentifizierung verwendet werden, indem dem Eintrag des Clients in der MAC-Adresstabelle ein Kennwort zugewiesen wird. Die MAC-Authentifizierung kann entweder lokal oder mit einem RADIUS-Server erfolgen.

Captive Portal-Authentifizierung

Captive Portals werden häufig zur Authentifizierung von Hotspots verwendet, sodass alle Benutzer gezwungen sind, die konfigurierte Anmeldewebseite zu verwenden. Viele Unternehmen verwenden Captive Portale, um Gastbenutzer für die temporäre Nutzung des Unternehmensnetzwerks zu authentifizieren. Das Captive Portal verfügt über ein Kennwort für alle Benutzer, das häufig geändert werden sollte.

Zugehörige Dokumentation