IEEE802.1X-Authentisierungseinstellungen
In diesem Kapitel wird die Einrichtung der Authentisierung IEEE802.1X erläutert.
Bei IEEE802.1X fordert der RADIUS-Server eine Anwenderauthentisierung von der anfragenden Einheit (das System) zum Herstellen einer Verbindung mit dem Netzwerk. EAPOL (EAP over LAN) wird zur Kommunikation zwischen anfragender Einheit und der authentisierenden Einheit (LAN-Schalter) verwendet, durch die der Zugriff auf den Computer auf Grundlage der Authentisierungsergebnisse ausgeführt wird. Die Authentisierungsinformationen werden kollektiv mit dem RADIUS-Server (Remote Authentication Dial In User Service) verwaltet. Die anfragende Einheit wird authentisiert. Unerlaubter Zugriff kann verhindert werden, weil diese Authentisierungsmethode nur anfragende Einheiten zulässt, die vom RADIUS-Server authentisiert wurden, um über eine Authentisierung eine Verbindung zum Netzwerk herzustellen. Die Authentisierung blockiert die Kommunikation mit anfragenden Einheiten, die nicht durch den RADIUS-Server authentisiert wurden.
Das System unterstützt folgende Authentisierungsmethoden:
EAP-TLS (Extensible Authentication Protocol-Transport Level Security)
Bei der EAP-TLS-Methode wird die Authentisierung durchgeführt, indem ein digitales Zertifikat bilateral für den Client und den RADIUS-Server ausgestellt wird. Die vom System gesendeten Informationen zu Schlüsselpaar und Client-Zertifikat werden auf dem RADIUS-Server mithilfe des CA-Zertifikats überprüft. Das vom RADIUS-Server gesendete Serverzertifikat wird mithilfe des CA-Zertifikats auf dem Client (dem System) überprüft. Das zum Überprüfen des Serverzertifikats verwendete CA-Zertifikat muss registriert sein. Informationen zum Installieren der CA-Zertifikatdatei mithilfe des Remote UI finden Sie im Abschnitt
"Installieren einer Zertifikatdatei". Nähere Informationen zum Registrieren der installierten CA-Zertifikatdatei finden Sie im Abschnitt
"Registrieren/Bearbeiten einer CA-Zertifikatdatei".
Damit Sie EAP-TLS mit dem System verwenden können, sind außerdem die Einstellungen für den (mit IEEE802.1X-Authentisierung zu authentisierenden) Anwender-Login-Namen, sowie die Einstellungen für das Schlüsselpaar (im PKCS#12-Format) und das Client-Zertifikat erforderlich. Nach der Installation der Schlüsselpaardatei und der Client-Zertifikatdatei mithilfe des Remote UI (vgl. Abschnitt
"Installieren einer Schlüsselpaardatei und eines Serverzertifikats") legen Sie über das Bedienfeld des Systems das Schlüsselpaar und das Client-Zertifikat für EAP-TLS als Standardschlüssel fest.
EAP-TTLS (EAP-Tunneled TLS)
Bei der EAP-TTLS-Methode wird nur vom RADIUS-Server ein digitales Zertifikat ausgestellt. Das vom RADIUS-Server gesendete Serverzertifikat wird mithilfe des CA-Zertifikats auf dem Client überprüft. Das zum Überprüfen des Serverzertifikats verwendete CA-Zertifikat muss registriert sein. Informationen zum Installieren der CA-Zertifikatdatei mithilfe des Remote UI finden Sie im Abschnitt
"Installieren einer Zertifikatdatei". Nähere Informationen zum Registrieren der installierten CA-Zertifikatdatei finden Sie im Abschnitt
"Registrieren/Bearbeiten einer CA-Zertifikatdatei".
Damit Sie EAP-TTLS mit dem System verwenden können, müssen zudem der Name des mithilfe der IEEE802.1X-Authentisierung zu authentisierenden Anwenders/Login-Anwenders und das Passwort festgelegt worden sein.
Der Anwender kann zwei Typen des internen Authentisierungsprotokolls auswählen, die von EAP-TTLS unterstützt werden: MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol Version 2) oder PAP (Password Authentication Protocol). MS-CHAPv2 und PAP können nicht gleichzeitig festgelegt werden.
PEAP (Protected EAP)
Bei der PEAP-Methode wird nur vom RADIUS-Server ein digitales Zertifikat ausgestellt. Das vom RADIUS-Server gesendete Serverzertifikat wird mithilfe des CA-Zertifikats auf dem Client überprüft. Das zum Überprüfen des Serverzertifikats verwendete CA-Zertifikat muss registriert sein. Informationen zum Installieren der CA-Zertifikatdatei mithilfe des Remote UI finden Sie im Abschnitt
"Installieren einer Zertifikatdatei". Nähere Informationen zum Registrieren der installierten CA-Zertifikatdatei finden Sie im Abschnitt
"Registrieren/Bearbeiten einer CA-Zertifikatdatei".
Damit Sie PEAP mit dem System verwenden können, müssen zudem der Name des mithilfe der IEEE802.1X-Authentisierung zu authentisierenden Anwenders/Login-Anwenders und das Passwort festgelegt worden sein.
Das einzige von PEAP unterstützte interne Authentisierungsprotokoll ist MS-CHAPv2.
WICHTIG
|
Die EAP-TLS-Methode und die EAP-TTLS/PEAP-Methode können nicht gleichzeitig festgelegt werden.
|