Menüpfad: Setup > Netzwerk > LAN-Schnittstellen > [Schnittstelle] > Authentifizierung

Hier aktivieren und konfigurieren Sie die Netzwerkport-Authentifizierung.

IEEE-802.1x-Authentifizierung aktivieren

☑ Die Netzwerkport-Authentifizierung ist aktiviert.

☐ Die Netzwerkport-Authentifizierung ist nicht aktiviert. (Standard)

Wenn Sie die Authentifizierung aktivieren, haben Sie weitere Optionen:

EAP-Typ: Hier können Sie das Authentifizierungsverfahren wählen:

  • PEAP: Protected Extensible Authentication Protocol
  • TLS: Transport Layer Security with client certificate
  • TTLS: Tunneled Transport Layer Security
  • FAST: Flexible Authentication via Secure Tunneling

Anonyme Identität: Diese Identität wird bei der Authentifizierung anstelle der tatsächlichen Identität (Kennung) übermittelt. Dadurch wird die Offenlegung der tatsächlichen Identität des Benutzers verhindert. Die anonyme Identität ist für jeden der oben genannten EAP-Typen relevant, außer für "TLS".

Auth Methode: Folgende Authentifizierungsmethoden sind verfügbar:

  • MSCHAPV2: Microsoft Challenge Handshake Authentication Protocol
  • TLS: Transport Layer Security with client certificate
  • GTC: Generic Token Card
  • MD5: MD5-Challenge
  • PAP: Password Authentication Protocol

Serverzertifikat prüfen

☑ Das Zertifikat des Servers wird kryptografisch geprüft. (Standard)

CA-Stammzertifikat: Der Pfad zur Stammzertifikatsdatei der CA. Diese kann in den Formaten PEM oder DER vorliegen.

Kennung: Benutzername für den RADIUS-Server

Passwort: Passwort für den Netzwerkzugang

Wenn Sie die Felder Kennung und Passwort leer lassen, wird zur Authentifizierung eine Eingabemaske angezeigt. Das gilt jedoch nicht für die Methoden mit Clientzertifikat (TLS und PEAP-TLS), wo diese Angaben Pflicht sind.


Folgende Einstellungen sind relevant, wenn Sie "TLS" als EAP-Typ ausgewählt haben:

Zertifikate mit SCEP (NDES) verwalten

☑ Clientzertifikate werden automatisch mit SCEP verwaltet.

☐ Clientzertifikate werden nicht mit SCEP verwaltet. (Standard)

Clientzertifikat: Pfad zur Datei mit dem Zertifikat zur Clientauthentifizierung im PEM- (base64) oder DER-Format.

Wenn ein privater Schlüssel im PKCS12 Format benutzt wird, lassen Sie das Feld frei.

Privater Schlüssel: Pfad zur Datei mit dem privaten Schlüssel des Clientzertifikats. Die Datei kann in den Formaten PEM (base64), DER oder PFX vorliegen. Möglicherweise ist für den Zugriff das Passwort für privaten Schlüssel erforderlich.

Kennung: Benutzername für den Netzwerkzugang

Passwort für privaten Schlüssel: Passwort für den Privaten Schlüssel des Clientzertifikats


Die folgende Einstellung ist relevant, wenn Sie "FAST" als EAP-Typ ausgewählt haben:

Automatic PAC Provisioning: Gibt an, wie PAC (Protected Access Credential) an den Client übermittelt wird.
Mögliche Optionen:

  • "disabled": PAC-Dateien müssen manuell auf das Gerät übertragen werden, z. B. per UMS Filetransfer.
  • "unauthenticated": Für die PAC-Bereitstellung wird ein anonymer Tunnel verwendet.
  • "authenticated": Für die PAC-Bereitstellung wird ein authentifizierter Tunnel verwendet.
  • "unrestricted": Sowohl authentifizierte als auch unauthentifizierte PAC-Bereitstellung ist erlaubt. PAC-Dateien werden automatisch nach der ersten erfolgreichen Authentifizierung erstellt.

PAC-Dateien werden in /wfs/eap_fast_pacs/ gespeichert.

Die PAC-Dateinamen werden automatisch von der Kennung abgeleitet, sind aber codiert. Im Falle der manuellen PAC-Bereitstellung können Sie die PAC-Dateinamen mit dem folgenden Skript bestimmen: /bin/gen_pac_filename.sh

Beim Tests mit hostapd war es notwendig, TLS 1.2 zu deaktivieren. Geben Sie dazu unter System > Registry > network.interfaces.ethernet.device%.ieee8021x.phase1_direct den folgenden Befehl ein: tls_disable_tlsv1_2=1