3
Frage zu RADIUS bzgl. Cisco AccessPoint
Hallo Leute,
hätte die Möglichkeit in der Berufsschule noch einen Vortrag über "RADIUS-Server des Cisco AP" zu halten.
bin noch unerfahren was das Thema Radius generell angeht und wollte deswegen fragen welche Cisco Access Points einen integrierten Radius Server haben und ob man irgendwo hinweise zur Konfiguration eines solchen findet beziehungsweise ein paar Schlagwörter die mir auf die Sprünge helfen. Hab von Cisco direkt mal einen Link gefunden, scheint aber nur das anbinden an einen bestehenden RADIUS Server zu behandeln.
http://www.cisco.com/en/US/products/hw/wireless/ps4570/products_configu ...
Hoffe könnt mir weiterhelfen damit ich weiss auf was ich mich da einlassen würde.
Mfg
Daniel
hätte die Möglichkeit in der Berufsschule noch einen Vortrag über "RADIUS-Server des Cisco AP" zu halten.
bin noch unerfahren was das Thema Radius generell angeht und wollte deswegen fragen welche Cisco Access Points einen integrierten Radius Server haben und ob man irgendwo hinweise zur Konfiguration eines solchen findet beziehungsweise ein paar Schlagwörter die mir auf die Sprünge helfen. Hab von Cisco direkt mal einen Link gefunden, scheint aber nur das anbinden an einen bestehenden RADIUS Server zu behandeln.
http://www.cisco.com/en/US/products/hw/wireless/ps4570/products_configu ...
Hoffe könnt mir weiterhelfen damit ich weiss auf was ich mich da einlassen würde.
Mfg
Daniel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 78255
Url: https://administrator.de/contentid/78255
Printed on: April 24, 2024 at 13:04 o'clock
3 Comments
Latest comment
Nein, das ist Unsinn und hoffentlich lernt man das in der Berufsschule so nicht....! Ein Radius Server ist niemals auf einem AP integriert. Abgesehen davon das die AP CPU das performancetechnisch niemals könnte wäre es ja auch "den Bock zum Gärtner machen", denn wer installiert schon den Authentifizierungsserver mit alle seinen Sicherheitseinstellungen und Benutzer Datenbank auf dem Device wo authentifiziert werden soll....??
Dir leuchtet ja sicher auch ein das das Blödsinn wäre, denn würde einer so einen AP abschrauben und mit nach Hause nehmen wäre dein gesamtes Sicherheitskonzept mit futsch.
Außerdem was würdest du denn in einem WLAN mit 100 oder mehr APs machen ??? Den Radius Server 100 mal installieren und konfigurieren. Du merkst selber das sowas natürlich falsch gedacht ist und der Radius Server eine zentrale Instanz im Netz ist...
Ein Radius Server ist also immer ein externen Server an den der AP seine Authentifizierungs Anfrage stellt per IP.
Nebenbei bemerkt ist es völlig egal welchen AP du nimmst sogar die einfachsten APs aus dem Blödmarkt vom Grabbeltisch supporten heutzutage eine Authentifizierung über einen Radius Server, es muss also nicht immer Cisco sein, denn das Radius Protokoll ist ein weltweiter Standard....
Der weltweit meistgenutzte Radius Server ist der Freeradius (www.freeradius.org). Damit lässt es sich mit einer bootbaren Live CD oder einer VmWare Installation sehr leicht testen und spielen. Ein Wiki auf der Seite erklärt dir die Details von Radius.
Das Pendant für Windows Knechte ist der MS IAS der Teil jedes 2k oder 2k3 Servers ist.
Dir leuchtet ja sicher auch ein das das Blödsinn wäre, denn würde einer so einen AP abschrauben und mit nach Hause nehmen wäre dein gesamtes Sicherheitskonzept mit futsch.
Außerdem was würdest du denn in einem WLAN mit 100 oder mehr APs machen ??? Den Radius Server 100 mal installieren und konfigurieren. Du merkst selber das sowas natürlich falsch gedacht ist und der Radius Server eine zentrale Instanz im Netz ist...
Ein Radius Server ist also immer ein externen Server an den der AP seine Authentifizierungs Anfrage stellt per IP.
Nebenbei bemerkt ist es völlig egal welchen AP du nimmst sogar die einfachsten APs aus dem Blödmarkt vom Grabbeltisch supporten heutzutage eine Authentifizierung über einen Radius Server, es muss also nicht immer Cisco sein, denn das Radius Protokoll ist ein weltweiter Standard....
Der weltweit meistgenutzte Radius Server ist der Freeradius (www.freeradius.org). Damit lässt es sich mit einer bootbaren Live CD oder einer VmWare Installation sehr leicht testen und spielen. Ein Wiki auf der Seite erklärt dir die Details von Radius.
Das Pendant für Windows Knechte ist der MS IAS der Teil jedes 2k oder 2k3 Servers ist.
Vielen Dank für die schnelle Antwort ..
kam mir auch ein bisschen spanisch vor jedoch heisst sein Thema wortwortlich "RADIUS-Server des Cisco AP", könnte es vll sein das bei den Switches ein Cisco eigener Radius Dienst mitgeliefert wird?Naja muss gucken das ich den Lehrer noch irgendwie erreiche und zur Aufgabenstellung ausquetschen kann.
Muss bei uns in der Schule auf jeden Fall Cisco sein, da wir dort auch CCNA machen und die Lehrer dementsprechend sehr stark an Cisco orientieren.
kam mir auch ein bisschen spanisch vor jedoch heisst sein Thema wortwortlich "RADIUS-Server des Cisco AP", könnte es vll sein das bei den Switches ein Cisco eigener Radius Dienst mitgeliefert wird?Naja muss gucken das ich den Lehrer noch irgendwie erreiche und zur Aufgabenstellung ausquetschen kann.
Muss bei uns in der Schule auf jeden Fall Cisco sein, da wir dort auch CCNA machen und die Lehrer dementsprechend sehr stark an Cisco orientieren.
Oha eine Schule die Cisco Knechte erzieht...na ja wenns denn sein muss ?!
Da hat wohl der Lehrer seine Hausaufgaben nicht gemacht oder ist selber bei der CCXY Prüfung durchgefallen was dann wieder ein Licht auf den Sinn solcher fragwürdigen Zertifikate wirft, zumal er scheinbar ja auch schlicht falsch gestellte Aufgabenthemen vergibt, sorry......
Ein Switch oder AP oder Router ist immer ein Supplicant in einer Authentifizierungsschiene. Für alle diese Devices gilt das oben Geschriebene.
Keiner solcher Geräte hat selber einen Radius Server implementiert sondern fragt als Client immer einen Radius Server ob ein Benutzer rauf darf, ins Netz darf usw. Er ist also gewissermaßen ein Radius Client niemals aber ein Server selber, das ist eine komplett falsche und unsinnige Annahme ! Es ist ja gerade der tiefere Sinn das eine zentrale Instanz in einem Netzwerk diese Benutzerauthentifizierung durchführt und nie einzelene Geräte für sich selbst !
In deinem o.a. URL kannst du ja auch ganz klar sehen, das dort ein Ziel IP Adresse für den Server eingegeben werden muss. Ein klares Indiz das der Server niemals selbst auf dem AP ist !
Hier ist übrigens ein Konfig Beispiel für den Freeradius für eine EAP Authentisierung:
(Annahme: Dein Netzwerk ist die 192.168.1.0)
Wie gesagt, das Radius Protokoll ist ein standartisiertes Protokoll und es ist vollkommen unerheblich ob ihr das mit Cisco, NetGear, HP oder wem auch immer macht. Das eigentliche Verfahren ist immer dasselbe ! Deine Argumentation (oder die der Lehrer die sich an einen Konzern verkaufen..) wäre so als würdest du sagen "mit meinem Mercedes kann ich immer nur Aral tanken, nichts anderes weil mein Autoverkäufer sich nur an Aral Benzin orientiert....."
Die Antwort wie sinnig so eine Einstellung zu diesem Thema ist, kannst du dir sicher besser selber geben
Da hat wohl der Lehrer seine Hausaufgaben nicht gemacht oder ist selber bei der CCXY Prüfung durchgefallen was dann wieder ein Licht auf den Sinn solcher fragwürdigen Zertifikate wirft, zumal er scheinbar ja auch schlicht falsch gestellte Aufgabenthemen vergibt, sorry......
Ein Switch oder AP oder Router ist immer ein Supplicant in einer Authentifizierungsschiene. Für alle diese Devices gilt das oben Geschriebene.
Keiner solcher Geräte hat selber einen Radius Server implementiert sondern fragt als Client immer einen Radius Server ob ein Benutzer rauf darf, ins Netz darf usw. Er ist also gewissermaßen ein Radius Client niemals aber ein Server selber, das ist eine komplett falsche und unsinnige Annahme ! Es ist ja gerade der tiefere Sinn das eine zentrale Instanz in einem Netzwerk diese Benutzerauthentifizierung durchführt und nie einzelene Geräte für sich selbst !
In deinem o.a. URL kannst du ja auch ganz klar sehen, das dort ein Ziel IP Adresse für den Server eingegeben werden muss. Ein klares Indiz das der Server niemals selbst auf dem AP ist !
Hier ist übrigens ein Konfig Beispiel für den Freeradius für eine EAP Authentisierung:
(Annahme: Dein Netzwerk ist die 192.168.1.0)
Datei: clients.conf
#
client 192.168.1.0/24 {
secret = geheim
shortname = Cisconetz
}
Datei: users
#
Acura86 Auth-Type := EAP, User-Password == "geheim"
#Wie gesagt, das Radius Protokoll ist ein standartisiertes Protokoll und es ist vollkommen unerheblich ob ihr das mit Cisco, NetGear, HP oder wem auch immer macht. Das eigentliche Verfahren ist immer dasselbe ! Deine Argumentation (oder die der Lehrer die sich an einen Konzern verkaufen..) wäre so als würdest du sagen "mit meinem Mercedes kann ich immer nur Aral tanken, nichts anderes weil mein Autoverkäufer sich nur an Aral Benzin orientiert....."
Die Antwort wie sinnig so eine Einstellung zu diesem Thema ist, kannst du dir sicher besser selber geben
