Download PDF
Download page Authentifizierung.
Authentifizierung
Menüpfad: Setup > Netzwerk > LAN-Schnittstellen > [Schnittstelle] > Authentifizierung
Hier aktivieren und konfigurieren Sie die Netzwerkport-Authentifizierung.
IEEE-802.1x-Authentifizierung aktivieren
☑ Die Netzwerkport-Authentifizierung ist aktiviert.
☐ Die Netzwerkport-Authentifizierung ist nicht aktiviert. (Standard)
Wenn Sie die Authentifizierung aktivieren, haben Sie weitere Optionen:
EAP-Typ: Hier können Sie das Authentifizierungsverfahren wählen:
- PEAP: Protected Extensible Authentication Protocol
- TLS: Transport Layer Security with client certificate
- TTLS: Tunneled Transport Layer Security
- FAST: Flexible Authentication via Secure Tunneling
Anonyme Identität: Diese Identität wird bei der Authentifizierung anstelle der tatsächlichen Identität (Kennung) übermittelt. Dadurch wird die Offenlegung der tatsächlichen Identität des Benutzers verhindert. Die anonyme Identität ist für jeden der oben genannten EAP-Typen relevant, außer für "TLS".
Auth Methode: Folgende Authentifizierungsmethoden sind verfügbar:
- MSCHAPV2: Microsoft Challenge Handshake Authentication Protocol
- TLS: Transport Layer Security with client certificate
- GTC: Generic Token Card
- MD5: MD5-Challenge
- PAP: Password Authentication Protocol
Serverzertifikat prüfen
☑ Das Zertifikat des Servers wird kryptografisch geprüft. (Standard)
CA-Stammzertifikat: Der Pfad zur Stammzertifikatsdatei der CA. Diese kann in den Formaten PEM oder DER vorliegen.
Kennung: Benutzername für den RADIUS-Server
Passwort: Passwort für den Netzwerkzugang
Folgende Einstellungen sind relevant, wenn Sie "TLS" als EAP-Typ ausgewählt haben:
Zertifikate mit SCEP (NDES) verwalten
☑ Clientzertifikate werden automatisch mit SCEP verwaltet.
☐ Clientzertifikate werden nicht mit SCEP verwaltet. (Standard)
Clientzertifikat: Pfad zur Datei mit dem Zertifikat zur Clientauthentifizierung im PEM- (base64) oder DER-Format.
Privater Schlüssel: Pfad zur Datei mit dem privaten Schlüssel des Clientzertifikats. Die Datei kann in den Formaten PEM (base64), DER oder PFX vorliegen. Möglicherweise ist für den Zugriff das Passwort für privaten Schlüssel erforderlich.
Kennung: Benutzername für den Netzwerkzugang
Passwort für privaten Schlüssel: Passwort für den Privaten Schlüssel des Clientzertifikats
Die folgende Einstellung ist relevant, wenn Sie "FAST" als EAP-Typ ausgewählt haben:
Automatic PAC Provisioning: Gibt an, wie PAC (Protected Access Credential) an den Client übermittelt wird.
Mögliche Optionen:
- "disabled": PAC-Dateien müssen manuell auf das Gerät übertragen werden, z. B. per UMS Filetransfer.
- "unauthenticated": Für die PAC-Bereitstellung wird ein anonymer Tunnel verwendet.
- "authenticated": Für die PAC-Bereitstellung wird ein authentifizierter Tunnel verwendet.
- "unrestricted": Sowohl authentifizierte als auch unauthentifizierte PAC-Bereitstellung ist erlaubt. PAC-Dateien werden automatisch nach der ersten erfolgreichen Authentifizierung erstellt.
PAC-Dateien werden in /wfs/eap_fast_pacs/
gespeichert.
Die PAC-Dateinamen werden automatisch von der Kennung abgeleitet, sind aber codiert. Im Falle der manuellen PAC-Bereitstellung können Sie die PAC-Dateinamen mit dem folgenden Skript bestimmen: /bin/gen_pac_filename.sh
Beim Tests mit hostapd
war es notwendig, TLS 1.2 zu deaktivieren. Geben Sie dazu unter System > Registry > network.interfaces.ethernet.device%.ieee8021x.phase1_direct den folgenden Befehl ein: tls_disable_tlsv1_2=1