Erstellen und Verwalten von Authentifizierungsprofilen

Verwalten von Authentifizierungsprofilen

Auf der Seite "Authentifizierungsprofile verwalten" können Sie:

Erstellen Sie ein neues Authentifizierungsprofil, indem Sie auf Hinzufügen klicken. Anweisungen finden Sie unter Erstellen eines Authentifizierungsprofils.
Ändern Sie ein vorhandenes Profil, indem Sie es auswählen und auf Bearbeiten klicken.
Zeigen Sie Informationen zu einem Profil an, einschließlich der Schnittstellen, denen es zugeordnet ist, indem Sie auf den Profilnamen klicken oder indem Sie das Profil auswählen und auf Details klicken.
Löschen Sie ein Authentifizierungsprofil, indem Sie ein Profil auswählen und auf Löschen klicken.

Tipp:
Profile, die verwendet werden, d. h. Objekten zugewiesen oder von anderen Profilen verwendet werden, können nicht gelöscht werden. Um die aktuellen Zuweisungen für ein Profil anzuzeigen, wählen Sie das Profil aus und klicken Sie auf Details.
Klonen Sie ein Profil, indem Sie ein Profil auswählen und auf Klonen klicken.

In Tabelle 1 werden die Informationen zu Authentifizierungsprofilen auf der Seite Authentifizierungsprofile verwalten beschrieben. Auf dieser Seite werden alle Authentifizierungsprofile aufgelistet, die für Ihr Netzwerk definiert sind, unabhängig davon, welchen Bereich Sie in der Netzwerkansicht ausgewählt haben.

Tabelle 1: Verwalten von Authentifizierungsprofilfeldern
Feld	Beschreibung
Profilname	Name, der dem Profil bei der Erstellung des Profils zugewiesen wurde.
Familientyp	Die Gerätefamilie, auf der das Profil erstellt wurde.
Beschreibung	Beschreibung des Profils, das bei der Erstellung des Profils eingegeben wurde. Tipp: Um die gesamte Beschreibung anzuzeigen, müssen Sie möglicherweise die Größe der Spalte Beschreibung ändern, indem Sie auf den Spaltenrand in der Überschrift klicken und ihn ziehen.
Erstellungszeit	Datum und Uhrzeit der Erstellung dieses Profils.
Aktualisierungszeit	Datum und Uhrzeit der letzten Änderung dieses Profils.
Benutzername	Der Benutzername des Benutzers, der das Profil erstellt oder geändert hat.

Tipp:

Möglicherweise werden nicht alle Spalten angezeigt. Um Felder in der Tabelle "Authentifizierungsprofile verwalten" ein- oder auszublenden, klicken Sie in der Feldkopfzeile auf den Pfeil nach unten, wählen Sie "Spalten" aus, und aktivieren oder deaktivieren Sie das Kontrollkästchen neben dem Feld, das Sie ein- oder ausblenden möchten.

Erstellen eines Authentifizierungsprofils

In Network Director können Sie ein Authentifizierungsprofil erstellen, um Methoden zu konfigurieren, die zur Authentifizierung von Benutzern verwendet werden sollen. Sie können auch Details zu den Buchhaltungsservern angeben, die für Buchhaltungszwecke verwendet werden sollen.

Für ein Authentifizierungsprofil müssen Sie Folgendes angeben:

Einen Profilnamen
Mindestens eine Zugriffsregel

Nachdem Sie ein Authentifizierungsprofil erstellt haben, können Sie es in ein Portprofil aufnehmen. Das in einem Portprofil angegebene Authentifizierungsprofil fungiert als Standardprofil für alle Benutzer und Geräte, die eine Verbindung mit dem Port herstellen.

So erstellen Sie ein Authentifizierungsprofil:

Klicken Sie auf das Network Director-Banner.
Wählen Sie unter Ansicht auswählen entweder Logische Ansicht, Standortansicht, Geräteansicht oder Benutzerdefinierte Gruppenansicht aus.

Tipp:
Wählen Sie nicht Dashboard-Ansicht oder Topologie-Ansicht aus.
Wählen Sie im Bereich Tasks den Netzwerktyp (kabelgebunden), den entsprechenden Funktionsbereich (System oder AAA) und den Namen des Profils aus, das Sie erstellen möchten. Wenn Sie beispielsweise ein Portprofil für ein kabelgebundenes Gerät erstellen möchten, klicken Sie auf Kabelgebundene > Profile > Port. Die Seite "Profil verwalten" wird geöffnet.
Klicken Sie auf Hinzufügen , um ein neues Profil hinzuzufügen.

Wenn Sie ein Profil für das kabelgebundene Netzwerk erstellen möchten, öffnet Network Director das Fenster Gerätefamilienauswahl.
1. Wählen Sie in der Gerätefamilienauswahl die Gerätefamilie aus, für die Sie ein Profil erstellen möchten. Die verfügbaren Gerätefamilien sind Switching (EX), Campus Switching ELS (Enhanced Layer 2 Software) und Data Center Switching ELS.
2. Klicken Sie auf OK.
  
  Die Seite Authentifizierungsprofil erstellen für die ausgewählte Gerätefamilie wird angezeigt.
Geben Sie die Authentifizierungseinstellungen an, indem Sie einen der folgenden Schritte ausführen:
- Legen Sie für Switches der EX-Serie, Campus Switching Enhanced Layer 2-Software, die Einstellungen fest, wie unter Angeben von Authentifizierungseinstellungen für Switches beschrieben.
Klicken Sie auf Fertig , um das Authentifizierungsprofil zu speichern.

Das System speichert das Authentifizierungsprofil und zeigt die Seite Authentifizierungsprofile verwalten an. Ihr neues oder geändertes Authentifizierungsprofil wird in der Tabelle der Authentifizierungsprofile aufgeführt.

Festlegen von Authentifizierungseinstellungen für Switches

Um ein Authentifizierungsprofil für Switching-Geräte zu konfigurieren, geben Sie die Einstellungen für die Seite "Authentifizierungsprofil erstellen" ein, die in Tabelle 2 für die Erstellung von Authentifizierungsprofilen auf Switches beschrieben sind. Erforderliche Einstellungen werden durch ein rotes Sternchen (*) gekennzeichnet, das neben der Feldbeschriftung in der Benutzeroberfläche angezeigt wird.

Tabelle 2: Authentifizierungsprofileinstellungen für Switches
Feld	Aktion
Profilname	Geben Sie den Namen des Profils ein. Sie können bis zu 64 Zeichen für Profile verwenden, die für kabelgebundene Geräte erstellt wurden. Der Profilname darf keine Sonderzeichen oder Leerzeichen enthalten. Beachten Sie, dass Profile, die von Network Director automatisch im Rahmen der Geräteerkennung oder von Out-of-Band-Änderungen erstellt werden, den Unterstrich (_) enthalten können.
Beschreibung	Geben Sie eine kurze Beschreibung für das Profil ein.
802.1X-Authentifikator
802.1X aktivieren	Die 802.1X-Authentifizierung ist für ein Switching-Profil standardmäßig aktiviert. Bei der 802.1X-Authentifizierung wird eine Authenticator-Portzugriffsentität (der Switch) verwendet, um den gesamten Datenverkehr zu und von einem Supplicant (Endgerät) am Port zu blockieren, bis die Anmeldeinformationen des Supplicants auf dem Authentifizierungsserver (einem RADIUS-Server) angezeigt und abgeglichen werden. Nach der Authentifizierung blockiert der Switch den Datenverkehr nicht mehr und öffnet den Port für den Supplicant. Der Netzwerkzugriff kann mithilfe von VLANs weiter definiert werden. Hinweis: Wenn Sie die 802.1X-Authentifizierung deaktivieren, sind mehrere verwandte Einstellungen nicht mehr verfügbar.
MAC-RADIUS aktivieren	Wählen Sie diese Option aus, um die MAC-RADIUS-basierte Authentifizierung für dieses Profil zu aktivieren. Die MAC RADIUS-Authentifizierung ermöglicht den LAN-Zugriff auf zulässige MAC-Adressen. Wenn eine neue MAC-Adresse auf einer Schnittstelle angezeigt wird, konsultiert der Switch den RADIUS-Server, um zu prüfen, ob es sich bei der MAC-Adresse um eine zulässige Adresse handelt. Wenn die MAC-Adresse auf dem RADIUS-Server konfiguriert ist, erhält das Gerät Zugriff auf das LAN. Tipp: Sie können 802.1X- und MAC-RADIUS-Authentifizierung kombinieren.
Supplicant-Modus	Geben Sie den Modus an, den Authentifizierungssupplicants verwenden, entweder Single, Multiple oder Single-Secure. Single: Lässt nur einen Host für die Authentifizierung zu. Single-Secure: Ermöglicht nur die Verbindung eines Endgeräts mit dem Port. Kein anderes Endgerät kann sich verbinden, bis sich das erste abmeldet. Mehrere: Lässt mehrere Hosts für die Authentifizierung zu. Jeder Host wird überprüft, bevor er in das Netzwerk aufgenommen wird.
Gast-VLAN	Klicken Sie auf Auswählen und wählen Sie dann das VLAN aus, in das eine Schnittstelle verschoben wird, wenn keine 802.1X-Supplicants an der Schnittstelle verbunden sind. Das angegebene VLAN muss bereits auf dem Switch vorhanden sein.
VLAN ablehnen	Klicken Sie auf Auswählen und wählen Sie dann das VLAN aus, in das eine Schnittstelle verschoben wird, wenn der Switch während des Authentifizierungsprozesses zwischen dem Switch und dem RADIUS-Authentifizierungsserver eine EAPoL-Zugriffsablehnungsnachricht (Extensible Authentication Protocol Over LAN) empfängt.
Serverfehlertyp	Geben Sie die Fallback-Aktion für Serverfehler an, die der Switch ausführt, wenn alle RADIUS-Authentifizierungsserver nicht erreichbar sind, entweder Keine, Verweigern, Zulassen, Cache verwenden oder VLAN-Name. Verweigern: Erzwingt, dass die Supplicant-Authentifizierung fehlschlägt. Es fließt kein Datenverkehr über die Schnittstelle. Zulassen: Erzwingt den Erfolg der Supplicant-Authentifizierung. Der Datenverkehr fließt durch die Schnittstelle, als ob er erfolgreich vom RADIUS-Server authentifiziert worden wäre. Cache verwenden: Erzwingt den Erfolg der Supplicant-Authentifizierung nur, wenn sie zuvor erfolgreich authentifiziert wurde. Dadurch wird sichergestellt, dass bereits authentifizierte Supplicants nicht betroffen sind. VLAN-Name: Verschieben Sie Supplicant auf der Schnittstelle in das VLAN, das durch diesen Namen angegeben wird. Diese Aktion ist nur zulässig, wenn es sich um den ersten Supplicant handelt, der eine Verbindung zu einer Schnittstelle herstellt. Wenn bereits ein authentifizierter Supplicant verbunden ist, wird der Supplicant nicht in das VLAN verschoben und nicht authentifiziert. Wenn Sie diese Option auswählen, geben Sie auch einen Fail-VLAN-Namen an.
Captive Portal Ein Captive Portal ist eine spezielle Webseite, die zur Authentifizierung verwendet wird, indem ein Webbrowser in einen Authentifizierungsmechanismus umgewandelt wird.
Captive-Portal aktivieren	Aktivieren Sie diese Option, um die Captive Portal-Einstellung für den Supplicant-Modus anzuzeigen. Wenn diese Option aktiviert ist, sind unter "Erweiterte Einstellungen" auch zusätzliche Einstellungen für das Captive Portal verfügbar.
Supplicant-Modus	Geben Sie den Modus an, der für Captive Portal-Supplicants verwendet werden soll, entweder Single, Multiple oder Single-Secure. Single: Lässt nur einen Host für die Authentifizierung zu. Mehrere: Lässt mehrere Hosts für die Authentifizierung zu. Jeder Host wird überprüft, bevor er in das Netzwerk aufgenommen wird. Single-Secure - Lässt nur ein Endgerät die Verbindung mit dem Port zu. Kein anderes Endgerät darf sich verbinden, bis sich das erste abmeldet.

Um die Konfiguration der erweiterten Einstellungen zu überspringen und die Standardeinstellungen zu übernehmen, klicken Sie auf Fertig. Sie können jetzt das Authentifizierungsprofil mit einem Portprofil verknüpfen. Anweisungen finden Sie unter Erstellen und Verwalten von Portprofilen.

Um erweiterte Switch-Einstellungen zu konfigurieren, klicken Sie auf Erweiterte Einstellungen , und geben Sie die in Tabelle 3 beschriebenen erweiterten Einstellungen ein.

Tabelle 3: Erweiterte Einstellungen des Authentifizierungsprofils für Switches
Feld	Aktion
802.1X-Einstellungen Diese Einstellungen sind nur verfügbar, wenn die 802.1X-Authentifizierung für dieses Authentifizierungsprofil aktiviert ist. Sie können die Standardeinstellungen verwenden oder ändern.
Übertragungszeitraum (Standard ist 30 Sekunden)	Geben Sie an, wie lange (in Sekunden) die Schnittstelle wartet, bevor sie die anfänglichen EAPOL-PDUs erneut an den Supplicant überträgt. Der Standardwert ist 30 Sekunden.
Maximale Anforderungen (Standard ist 2 Anforderungen)	Geben Sie an, wie oft ein EAPOL-Anforderungspaket maximal an den Supplicant übertragen wird, bevor die Authentifizierungssitzung abläuft. Der Standardwert ist 2 Anforderungen.
Wiederholungen (Standard sind 3 Wiederholungen)	Geben Sie an, wie oft der Switch versuchen soll, den Port nach einem anfänglichen Fehler zu authentifizieren. Der Port verbleibt während der Ruhephase nach dem Authentifizierungsversuch in einem Wartezustand. Der Standardwert ist 3 Wiederholungsversuche.
Ruhezeit (Standardwert ist 60 Sekunden)	Geben Sie an, wie viele Sekunden die Schnittstelle nach einem fehlgeschlagenen Authentifizierungsversuch durch einen Supplicant im Wartezustand verbleibt, bevor die Authentifizierung erneut versucht wird. Der Standardwert ist 60 Sekunden.
Keine erneute Authentifizierung (Standard ist deaktiviert)	Aktivieren Sie dieses Kontrollkästchen, wenn der Switch den Supplicant nach Ablauf der Ruhezeit nicht erneut authentifizieren soll.
Intervall für erneute Authentifizierung (Standardwert ist 3600 Sekunden)	Wenn die Option Keine erneute Authentifizierung nicht aktiviert ist, geben Sie die Anzahl der Sekunden an, nach der die Authentifizierungssitzung abläuft. Der Standardwert ist 3600 Sekunden.
Supplicant-Timeout (Standardwert ist 30 Sekunden)	Geben Sie an, wie lange der Port auf eine Antwort wartet, wenn eine Anforderung vom Authentifizierungsserver an den Supplicant weitergeleitet wird, bevor die Anforderung erneut gesendet wird. Der Standardwert ist 30 Sekunden.
RADIUS-Server-Timeout (Standardwert ist 30 Sekunden)	Geben Sie an, wie lange der Switch auf eine Antwort vom RADIUS-Server wartet. Der Standardwert ist 30 Sekunden.
MAC-Beschränkung (nur Switches mit MAC RADIUS)	Wenn MAC-RADIUS in diesem Authentifizierungsprofil aktiviert ist, wählen Sie diese Option aus, um die Authentifizierung nur auf MAC RADIUS zu beschränken. Wenn die MAC-RADIUS-Beschränkung konfiguriert ist, verwirft der Switch alle 802.1X-Pakete. Diese Option ist nützlich, wenn keine anderen 802.1X-Authentifizierungsmethoden, wie z. B. ein Gast-VLAN, auf der Schnittstelle benötigt werden, und eliminiert die Verzögerung, die auftritt, wenn der Switch feststellt, dass es sich bei einem angeschlossenen Gerät um einen nicht 802.1X-fähigen Host handelt. Aktivieren Sie optional Flap-On-Disconnect. Wenn der RADIUS-Server eine Trennungsnachricht an einen Supplicant sendet, setzt der Switch die Schnittstelle zurück, auf der der Supplicant authentifiziert ist. Wenn die Schnittstelle für den Mehrfach-Supplicant-Modus konfiguriert ist, setzt der Switch alle Supplicants auf der angegebenen Schnittstelle zurück. Diese Option wird nur wirksam, wenn auch die Option MAC Restrict festgelegt ist.
Captive Portal Wenn Captive Portal in diesem Authentifizierungsprofil in den Grundeinstellungen aktiviert ist, können Sie entweder die standardmäßigen erweiterten Captive Portal-Einstellungen verwenden oder sie wie angegeben ändern.
Ruhezeit (Standardwert ist 60 Sekunden)	Konfigurieren Sie die Zeit in Sekunden zwischen dem Zeitpunkt, an dem ein Benutzer die maximale Anzahl von Wiederholungsversuchen überschreitet, und dem Zeitpunkt, an dem er erneut versuchen kann, sich zu authentifizieren. Bereich: 1 bis 65.535 Standardwert: 60
Wiederholungen (Standard: 3 Wiederholungen)	Konfigurieren Sie, wie oft der Benutzer versuchen kann, Authentifizierungsinformationen zu übermitteln. Bereich: 1 bis 65.535 Standardwert: 3
Sitzungsablauf (Standardwert ist 3600 Sekunden)	Konfigurieren Sie die maximale Dauer einer Sitzung in Sekunden. Bereich: 1 bis 65.535 Standardwert: 3600
Server-Timeout (Standardwert ist 30 Sekunden)	Konfigurieren Sie die Zeit in Sekunden, die eine Schnittstelle auf eine Antwort wartet, wenn sie eine Antwort vom Client an den Authentifizierungsserver weiterleitet, bevor eine Zeitüberschreitung auftritt und die Aktion server-fail aufgerufen wird. Bereich: 1 bis 65.535 Standardwert: 30

Klicken Sie auf OK.

Das Fenster "Erweiterte Einstellungen" wird geschlossen, und die Seite "Authentifizierungsprofil für Switching erstellen" wird erneut angezeigt.

Klicken Sie auf Fertig.

Die Seite "Authentifizierungsprofile verwalten" wird erneut angezeigt, auf der Ihr neues Authentifizierungsprofil aufgeführt ist.

Sie können jetzt das Authentifizierungsprofil mit einem Portprofil verknüpfen. Weitere Informationen finden Sie unter Erstellen und Verwalten von Portprofilen.

Nächste Maßnahme

Nachdem Sie ein Authentifizierungsprofil erstellt haben, können Sie Folgendes tun:

Verknüpfen Sie bei Gerätewechseln das Authentifizierungsprofil mit einem Portprofil. Weitere Informationen finden Sie unter Erstellen und Verwalten von Portprofilen.