Authentifizierung des Netzwerkanschlusses in IGEL OS
Menüpfad: Setup > Netzwerk > LAN-Schnittstellen > [Schnittstelle] > Authentifizierung
Hier können Sie die Netzwerkport-Authentifizierung aktivieren und konfigurieren.
Authentifizierung IEEE-802.1x aktivieren
☑ Netzwerkport-Authentifizierung ist aktiviert.
☐ Netzwerkport-Authentifizierung ist nicht aktiviert. (Standard)
Wenn Sie die Authentifizierung aktivieren, stehen weitere Optionen zur Verfügung:
EAP-Typ: Hier können Sie das Authentifizierungsverfahren auswählen:
PEAP: Protected Extensible Authentication Protocol
TLS: Transport Layer Security mit Client Zertifikat
TTLS: Tunneled Transport Layer Security
FAST: Flexible Authentication via Secure Tunneling
Anonyme Identität: Diese Identität wird bei der Authentifizierung anstelle der eigentlichen Identität gesendet. Dies verhindert die Offenlegung der tatsächlichen Identität des Benutzers. Die anonyme Identität ist für jeden der oben genannten EAP-Typen relevant, mit Ausnahme von "TLS".
Authentifizierungsmethode: Die folgenden Authentifizierungsmethoden sind verfügbar:
MSCHAPV2: Microsoft Challenge Handshake Authentication Protocol
TLS: Transport Layer Security mit Client Zertifikat
GTC: Generic Token Card
MD5: MD5-Challenge
PAP: Password Authentication Protocol
Server-Zertifikat validieren
☑ Das Zertifikat des Servers wird kryptografisch geprüft. (Standard)
CA Root Zertifikat: Der Pfad zur CA Root Zertifikatsdatei. Diese kann im PEM- oder DER-Format vorliegen.
Identität: Benutzername für RADIUS
Passwort: Passwort für den Netzwerkzugang
Wenn Sie die Felder Identität und Passwort leer lassen, wird eine Eingabemaske für die Authentifizierung angezeigt. Dies gilt jedoch nicht für die Methoden mit einem Client-Zertifikat (TLS und PEAP-TLS), bei denen diese Angaben obligatorisch sind.
Die folgenden Einstellungen sind relevant, wenn Sie "TLS" als EAP-Typ ausgewählt haben:
Zertifikate mit SCEP verwalten (NDES)
☑ Client Zertifikate werden automatisch mit SCEP Client (NDES).
☐ Client Zertifikate werden nicht mit SCEP Client (NDES) verwaltet. (Standard)
Client Zertifikat: Pfad zu der Datei mit dem Zertifikat für die Client-Authentifizierung im PEM- (base64) oder DER-Format.
Wenn ein privater Schlüssel im PKCS#12-Format verwendet wird, lassen Sie dieses Feld leer.
Privater Schlüssel: Pfad zu der Datei mit dem privaten Schlüssel für das Client-Zertifikat. Die Datei kann im PEM- (base64), DER- oder PFX-Format vorliegen. Das Passwort für den privaten Schlüssel kann für den Zugriff erforderlich sein.
Identität: Benutzername für den Netzwerkzugang
Passwort für den privaten Schlüssel: Passwort für den Privaten Schlüssel für das Client-Zertifikat
Die folgende Einstellung ist relevant, wenn Sie "FAST" als EAP-Typ ausgewählt haben:
Automatische PAC-Bereitstellung: Gibt an, wie das PAC (Protected Access Credential) an den Client geliefert wird.
Mögliche Optionen:
"deaktiviert": PAC-Dateien müssen manuell auf das Gerät übertragen werden, z.B. über UMS file transfer.
"unauthenticated": Es wird ein anonymer Tunnel für die PAC-Bereitstellung verwendet.
"authentifiziert": Für die PAC-Bereitstellung wird ein authentifizierter Tunnel verwendet.
"unrestricted": Sowohl authentifizierte als auch unauthentifizierte PAC-Bereitstellung ist erlaubt. PAC-Dateien werden automatisch nach der ersten erfolgreichen Authentifizierung erstellt.
PAC-Dateien werden in /wfs/eap_fast_pacs/ gespeichert.
PAC-Dateinamen werden automatisch von der Identität abgeleitet, sind aber kodiert. Im Falle der manuellen PAC-Bereitstellung können Sie die PAC-Dateinamen mit dem folgenden Skript ermitteln: /bin/gen_pac_filename.sh
In Tests mit hostapd war es notwendig, TLS 1.2 zu deaktivieren. Dazu gibt man bei System > Registry > network.interfaces.ethernet.device%.ieee8021x.phase1_direct folgenden Befehl ein: tls_disable_tlsv1_2=1