Erstellen und Verwalten von RADIUS-Profilen

Remote Authentication Dial In User Service (RADIUS) ist ein Netzwerkprotokoll, das eine zentralisierte Authentifizierungs-, Autorisierungs- und Abrechnungsverwaltung (AAA) für Computer ermöglicht, damit diese eine Verbindung zu einem Netzwerkdienst herstellen und diesen verwenden können. Standardmäßig werden RADIUS-Server sowohl für die Kontoführung als auch für die Authentifizierung verwendet. In Network Director können Sie RADIUS-Profile erstellen und verwalten, mit denen RADIUS-Servereinstellungen konfiguriert werden.

Tipp:

Zusätzlich zu Ihrem RADIUS-Server können Sie auch einen LDAP-Server für die ELS-Switch-Authentifizierung der EX-Serie konfigurieren – Anweisungen finden Sie unter Erstellen und Verwalten von LDAP-Profilen.

In diesem Thema wird Folgendes beschrieben:

Verwalten von RADIUS-Profilen

Auf der Seite "RADIUS-Profile verwalten" können Sie:

Erstellen Sie ein neues Profil, indem Sie auf Hinzufügen klicken. Anweisungen finden Sie unter Erstellen von RADIUS-Profilen.
Ändern Sie ein vorhandenes Profil, indem Sie es auswählen und auf Bearbeiten klicken.
Zeigen Sie Informationen zu einem Profil an, indem Sie die Gruppe auswählen und auf Details klicken oder indem Sie auf den Profilnamen klicken.
Löschen Sie Profile, indem Sie das Profil auswählen und auf Löschen klicken.

Tipp:
Profile, die verwendet werden, d. h. Objekten zugewiesen oder von anderen Profilen verwendet werden, können nicht gelöscht werden. Um die aktuellen Zuweisungen für ein Profil anzuzeigen, wählen Sie das Profil aus und klicken Sie auf Details.
Klonen Sie ein Profil, indem Sie das Profil auswählen und auf Klonen klicken.

In Tabelle 1 werden die Informationen zu RADIUS-Profilen auf der Seite RADIUS-Profile verwalten beschrieben. Auf dieser Seite werden alle RADIUS-Profile aufgelistet, die für Ihr Netzwerk definiert sind, unabhängig davon, welchen Bereich Sie derzeit in der Netzwerkansicht ausgewählt haben.

Tabelle 1: RADIUS-Profilinformationen
Feld	Beschreibung
Name des RADIUS-Profils	Name, der dem RADIUS-Profil bei seiner Erstellung zugewiesen wurde.
Serveradresse	IP-Adresse des RADIUS-Servers.
Server-Port	UDP-Port, der vom RADIUS-Server verwendet wird.
Erstellungszeit	Datum und Uhrzeit der Erstellung dieses Profils.
Aktualisierungszeit	Datum und Uhrzeit der letzten Änderung dieses Profils.
Benutzername	Der Benutzername des Benutzers, der das Profil erstellt oder geändert hat.

Tipp:

Möglicherweise werden derzeit nicht alle Spalten angezeigt. Um Felder in der Tabelle ein- oder auszublenden, klicken Sie in der Feldkopfzeile auf den Pfeil nach unten, wählen Sie Spalten aus, und aktivieren oder deaktivieren Sie das Kontrollkästchen neben dem Feld, das Sie ein- oder ausblenden möchten.

Erstellen von RADIUS-Profilen

So erstellen Sie ein RADIUS-Profil:

Klicken Sie auf das Network Director-Banner.
Wählen Sie unter Ansicht auswählen entweder Logische Ansicht, Standortansicht, Geräteansicht oder Benutzerdefinierte Gruppenansicht aus.

Tipp:
Wählen Sie nicht Dashboard-Ansicht oder Topologie-Ansicht aus.
Wählen Sie im Bereich Tasks den Netzwerktyp (kabelgebunden), den entsprechenden Funktionsbereich (System oder AAA) und den Namen des Profils aus, das Sie erstellen möchten. Um beispielsweise ein Portprofil für ein kabelgebundenes Gerät zu erstellen, klicken Sie auf Kabelgebundene > Profile > PORT. Die Seite "Profil verwalten" wird geöffnet.
Klicken Sie auf der Seite "RADIUS-Profile verwalten" auf "Hinzufügen ".

Die Seite "RADIUS-Profil erstellen" wird angezeigt.
Geben Sie die Einstellungen für das RADIUS-Profil auf der Seite RADIUS-Profil erstellen ein, wie unter Festlegen von Einstellungen für ein RADIUS-Profil beschrieben.
Klicken Sie auf Fertig.

Festlegen von Einstellungen für ein RADIUS-Profil

Verwenden Sie die Seite RADIUS-Profil erstellen, um Authentifizierungs-, Autorisierungs- und Kontoführungseinstellungen für einen RADIUS-Server zu definieren.

In Tabelle 2 werden die Einstellungen des RADIUS-Profils beschrieben.

Tabelle 2: RADIUS-Profileinstellungen
Feld	Aktion
Servername	Geben Sie einen Namen für den Server ein, wobei Sie bis zu 64 alphanumerische Zeichen und keine Sonderzeichen außer dem Unterstrich verwenden sollten. Der Name muss auf den Servern eindeutig sein.
Serveradresse	Geben Sie die IP-Adresse des RADIUS-Servers ein.
Authentifizierungsport (Standard ist 1812)	Passen Sie mithilfe der Pfeile die Nummer des UDP-Ports an, der für RADIUS-Authentifizierungsnachrichten verwendet werden soll. Der Standard-UDP-Port ist 1812 und der Bereich liegt zwischen 0 und 65535.
Geheimnis	Geben Sie ein Kennwort für den RADIUS-Server ein.
Erweiterte Einstellungen Sie können die erweiterten Einstellungen für einen RADIUS-Server ändern oder die Standardeinstellungen verwenden.
Buchhaltungs-Port(Standard ist 1813)	Passen Sie mithilfe der Pfeile die Nummer des UDP-Ports an, der für RADIUS-Kontoführungsmeldungen verwendet werden soll. Der Standard-UDP-Port ist 1813 und der Bereich liegt zwischen 0 und 65535.
Anzahl der Wiederholungen(Standardwert ist 3)	Passen Sie mithilfe der Pfeile die Anzahl der Wiederholungen an, bis sie angibt, wie oft Network Director versucht, eine Verbindung zum RADIUS-Server herzustellen, wenn der RADIUS-Server nicht verfügbar ist.
Timeout (Standardwert ist 5 Sekunden)	Passen Sie mit den Pfeilen den Timeout-Wert an. Timeout gibt an, wie viele Sekunden Network Director für die Verbindung mit dem RADIUS-Server zulässt, bevor ein nicht erreichbarer Fehler ausgegeben wird.
Totzeit(Standardwert ist 5 Sekunden)	Passen Sie mithilfe der Pfeile die Anzahl der Sekunden an, bevor Network Director einen RADIUS-Server überprüft, der zuvor nicht reagiert hat. Der Standardwert ist 5 Sekunden.
MAC als Passwort verwenden	Aktivieren Sie diese Option, wenn jedes Clientgerät seine MAC-Adresse als Kennwort für den RADIUS-Server verwenden soll. Wenn Sie MAC als Kennwort verwenden aktivieren, ist das Feld "Autorisierungskennwort" nicht mehr verfügbar.
Autorisierungskennwort	Wenn Sie keine MAC-Adressen als Kennwörter für den RADIUS-Server verwenden, geben Sie hier ein allgemeines Kennwort ein.
MAC-Adressformat	Wählen Sie Keine, Bindestriche, Doppelpunkte, Ein-Bindestrich oder Rohformat aus, um das MAC-Adressformat zu bestimmen, das mit dem RADIUS-Server verwendet wird. Zum Beispiel: Keine: Für Unicast-IPv4 lautet eine Beispiel-MAC-Adresse 0123456789ab. Für Unicast-IPv6 lautet eine Beispiel-MAC-Adresse 20010db8000000000000ff0000428329. Bindestriche: Für Unicast-IPv4 lautet eine Beispiel-MAC-Adresse mit Bindestrichen 01-23-45-67-89-ab. Für Unicast-IPv6 lautet eine Beispiel-MAC-Adresse mit Bindestrichen 2001-0db8-0000-0000-0000-ff00-0042-8329. Doppelpunkte: Für Unicast-IPv4 lautet eine Beispiel-MAC-Adresse mit Doppelpunkten 01:23:45:67:89:ab. Für Unicast-IPv6 lautet eine Beispiel-MAC-Adresse mit Doppelpunkten 2001:0db8:0000:0000:0000:ff00:0042:8329. Ein-Bindestrich: IPv6-Unicast-Adressen, die nicht mit binär 000 beginnen, sind logisch in zwei Teile unterteilt: ein 64-Bit-(Sub-)Netzwerkpräfix und eine 64-Bit-Schnittstellenkennung, die zur Identifizierung der Netzwerkschnittstelle eines Hosts verwendet wird. Der Bindestrich wird zwischen den beiden Teilen platziert. Roh: Die IPv6-Adresse wird durch alle Zahlen dargestellt – keine Abschnitte, die nur Nullen enthalten, werden übersprungen und dann durch einen doppelten Doppelpunkt dargestellt. Dies ist beispielsweise eine unformatierte IPv6-Adresse: 2001:0000:0234:C1AB:0000:00A0:AABC:003F.
Authentifizierungsprotokoll(Standardwert ist PAP)	Wählen Sie PAP, CHAP, MSCHAP-V2 oder None aus, um ein Authentifizierungsprotokoll für den RADIUS-Server festzulegen. Diese Authentifizierungsprotokolle funktionieren wie folgt: PAP: steht für Password Authentication Protocol und wird von Point-to-Point-Protokollen verwendet, um Benutzer zu validieren, bevor ihnen der Zugriff auf Serverressourcen gestattet wird. Fast alle Remote-Server von Netzwerkbetriebssystemen unterstützen PAP. PAP überträgt jedoch unverschlüsselte ASCII-Passwörter über das Netzwerk und ist daher nicht sicher. Verwenden Sie es als letzten Ausweg, wenn der Remote-Server die stärkere Authentifizierung nicht unterstützt. CHAP: steht für Challenge Handshake Authentication Protocol und authentifiziert einen Benutzer oder Netzwerkhost gegenüber einer authentifizierenden Entität. CHAP bietet Schutz vor Replay-Angriffen durch den Peer durch die Verwendung eines sich inkrementell ändernden Bezeichners und eines variablen Challenge-Value. CHAP erfordert, dass sowohl der Client als auch der Server den Klartext des geheimen Kennworts kennen – es wird niemals über das Netzwerk gesendet. CHAP bietet eine bessere Sicherheit als PAP. MSCHAP-V2: steht für Microsofts Implementierung des Challenge Handshake Authentication Protocol Version 2 auf dem Router zur Unterstützung von Kennwortänderungen. Diese Funktion bietet Benutzern, die auf einen Router zugreifen, die Möglichkeit, das Kennwort zu ändern, wenn das Kennwort abläuft, zurückgesetzt wird oder so konfiguriert ist, dass es bei der nächsten Anmeldung geändert wird. Bei der MS-CHAP-Variante ist es nicht erforderlich, dass einer der Peers den Klartext des geheimen Kennworts kennt. MSCHAP-V2 wird als Authentifizierungsoption mit RADIUS-Servern verwendet, die für die WLAN-Sicherheit unter Verwendung des WPA-Enterprise-Protokolls verwendet werden.
Server-Priorität(Standardwert ist 1)	Geben Sie eine Serverpriorität ein, um die Reihenfolge anzugeben, in der auf RADIUS-Server zugegriffen wird. Die Eingabe einer Eins bedeutet, dass dieser Server zuerst geprüft wird.

Klicken Sie auf OK , um den RADIUS-Server zum EX-Switching-Zugriffsprofil hinzuzufügen. Sie können bei Bedarf weitere RADIUS-Server hinzufügen.

Wenn Sie über mehrere RADIUS-Server verfügen, können Sie diese im Abschnitt Reihenfolge der Authentifizierungsserver mithilfe der Pfeile priorisieren.

Klicken Sie auf Fertig , um das RADIUS-Serverprofil zu erstellen.

Der Name des RADIUS-Servers wird in der Liste der RADIUS-Server auf der Seite "RADIUS-Profile verwalten" angezeigt.

Nächste Maßnahme

Verknüpfen Sie den RADIUS-Server mit einem Access-Profil. Anweisungen finden Sie unter Erstellen und Verwalten von Zugriffsprofilen.