Allgemein

Authentifizierung

Wie oft authentifiziert sich ein Gerät typischerweise gegen RADIUSaaS?

Das ist schwer zu beantworten, da es vom Verhalten Ihrer Benutzer, Clients und Netzwerkausrüstung (APs, NACs, Switches) abhängt. Zusätzlich ist es wichtig zu beachten, dass RADIUSaaS weder

• eine Authentifizierung auslöst noch

• eine Beendigungsanfrage über seinen Accounting-Port an den Client sendet, was möglicherweise eine erneute Authentifizierung auslösen würde.

Wenn Sie das Gefühl haben, dass sich Ihre Geräte sehr häufig authentifizieren (mehrmals pro Stunde), ohne dass der Benutzer den Client ständig neu startet, könnte das folgende Gründe haben:

• Der Netzwerkcontroller authentifiziert den Client nicht schnell genug, damit der Client dem Netzwerk beitritt, sodass der Client erneut versucht, sich zu authentifizieren. Überprüfen Sie den Netzwerkcontroller, um zu sehen, ob/wann er eine Antwort von RaaS erhält.

• Der Netzwerkcontroller initiiert die Authentifizierung erneut. Überprüfen Sie den Netzwerkcontroller, um zu sehen, was dies verursachen könnte.

RADIUSaaS Admin-Portal

Wie kann ich das RADIUSaaS Admin-Portal zu "Meine Apps" hinzufügen?

App erstellen

Zuerst müssen Sie eine Unternehmens-App erstellen. Um dies über das Azure-Portal zu tun, gehen Sie wie folgt vor:

1. Melden Sie sich an bei Ihrem Azure Konto

2. Gehen Sie zu Administratoren können Benutzerzustimmungen im Azure-Portal überprüfen und widerrufen (

3. Wählen Sie Enterprise-Anwendungen

4. Klicken Sie + Neue Anwendung

1. Klicken Sie + Erstellen Sie Ihre eigene Anwendung

2. Geben Sie einen Namen für die App an (z. B. RADIUSaaS Portal)

3. Wählen Sie Integrieren Sie jede andere Anwendung, die Sie in der Galerie nicht finden und

4. Klicken Sie Erstellen

Nachdem die App eingerichtet ist, müssen wir nun Benutzer hinzufügen und das Logo sowie den Link konfigurieren

Benutzer und ein Logo hinzufügen

1. Unter Verwalten gehen Sie zu Benutzer und Gruppen - Fügen Sie alle Benutzer/Gruppen hinzu, die Ihre neue URL-Kachel sehen/verwenden sollen, und speichern Sie

   
2. Klicken Sie Eigenschaften - Laden Sie ein Logo-Bild Ihrer Wahl hoch und speichern Sie

   
3. Klicken Sie Einmaliges Anmelden - Wählen Sie Verknüpft Modus - Geben Sie dann die gewünschte URL ein und speichern Sie.

   

Zugriff auf "Meine Apps"

Ihre Benutzer sollten nun in der Lage sein, über "Meine Apps" auf die neu erstellte Link-Kachel zuzugreifen Benutzer können diese Zustimmung in Microsoft überprüfen oder widerrufen.

RADIUS-Rückgabeattribute

Welche VLAN-bezogenen Attribute gibt RADIUSaaS standardmäßig zurück?

Wenn VLAN-Tagging durch Konfigurieren und Aktivieren einer relevanten Regel, gibt RADIUSaaS die folgenden generischen VLAN-Attribute zurück

"Tunnel-Type": "VLAN"

"Tunnel-Medium-Type": "802"

"Tunnel-Private-Group-ID"

zusammen mit den anderen häufig verwendeten herstellerspezifischen VLAN-Attributen:

"WiMAX-VLAN-ID"

"Nexans-Port-Default-VLAN-ID"

"Dlink-VLAN-ID"

"UTStarcom-VLAN-ID"

"DHCP-IEEE-802.1Q-VLAN-ID"

"Motorola-WiMAX-VLAN-ID"

"Telrad-C-VLAN-ID"

"Telrad-S-VLAN-ID"

"SN-Assigned-VLAN-ID"

"Extreme-VM-VLAN-ID"

"Ruckus-VLAN-ID"

"Mikrotik-Wireless-VLANID"

"Egress-VLANID"

"HP-Egress-VLANID"

Sekundäre Instanz und Failover

Wie verhält sich eine sekundäre Instanz im Hinblick auf Failover?

Eine sekundäre Instanz bedeutet, dass Sie mindestens einen sekundären RadSec-Server haben, der unabhängig von Ihrer Hauptinstanz arbeitet, aber dieselbe Konfiguration hat. Wenn Sie einen haben, können Sie mehrere IP-Adressen unter RadSec IP-Adressen.

RadSec-Verbindung

Da die RadSec-Server unabhängig voneinander sind, übernehmen sie kein Failover. Sie sollten beide IP-Adressen/DNS-Einträge zu Ihrem Netzwerkcontroller hinzufügen, der entscheidet, an welchen Server die Authentifizierungsanfragen weitergeleitet werden.

RADIUS-Verbindung

Bei Ihren RADIUS-Proxies ist es etwas anders: Ihre Proxies kennen jede Ihrer RadSec-Instanzen und deren Gesundheitszustände und übernehmen daher das Failover, falls der primäre Server ausfällt.

Timer & Timeouts

Welche EAP-Parameter und Timeouts sollten konfiguriert werden?

Nicht jeder Access Point oder Switch (Authenticator) bietet Ihnen dieselbe Menge an Konfigurationsoptionen für EAP und allgemeine (RADIUS-Server-)Timeout-Parameter. Die folgende Übersicht stellt die uns bekannten maximalen Parameter dar und wie sie konfiguriert werden sollten, um maximale Zuverlässigkeit der Verbindung zwischen dem Authenticator und RADIUSaaS zu ermöglichen.

RADIUS-Server-Timeout

5 Sekunden

EAP-Parameter

Protokolle

Wie kann ich die öffentliche IP-Adresse der Site identifizieren, von der eine Authentifizierung ausgeht?

Um die öffentliche IP der authentifizierenden Site für eine bestimmte Authentifizierung zu identifizieren, hängt die Vorgehensweise davon ab, ob Sie eine RADIUS-Verbindung (über die RADIUS-Proxies) oder eine direkte RadSec-Verbindung verwenden:

RadSec-Verbindung

• Navigieren Sie zu Insights > Logs.

• Konfigurieren Sie den relevanten Zeitraum / Suchzeitraum.

• Setzen Sie das Logtyp Filter auf Details.

• Identifizieren Sie die relevante Authentifizierung (durch Korrelation von Zeitstempel und Benutzernamen).

• Identifizieren Sie eine Access-Request Nachricht (Nachricht > Packet-Type = Acess-Request), die zur untersuchten Authentifizierung gehört.

• Erweitern Sie den entsprechenden Logeintrag.

• Die öffentliche IP kann aus der Nachricht > Packet-Src-IP-Address Eigenschaft des Logeintrags extrahiert werden.

  

RADIUS-Verbindung

• Navigieren Sie zu Insights > Logs.

• Konfigurieren Sie den relevanten Zeitraum / Suchzeitraum.

• Setzen Sie das Log-Typ Filtern Sie auf die Proxy-.

• Identifizieren Sie die relevante Authentifizierung (durch Korrelation von Zeitstempel und Benutzernamen).

• Die öffentliche IP kann aus der Nachricht Eigenschaft des Logeintrags:

  

Unterstützt RADIUSaaS WPA3 Enterprise?

Ja, RADIUSaaS unterstützt WPA3 Enterprise. Es unterstützt auch den WPA3 Enterprise 192-Bit-Modus mit der folgenden Einschränkung:

Windows 11 24H2 führte strengere Zertifikatsanforderungen für WPA3-Enterprise-192-Bit-Verschlüsselung ein, was zu Authentifizierungsfehlern führen kann, wenn die gesamte Zertifikatkette nicht bestimmte kryptografische Mindestanforderungen erfüllt. Dieses Update verlangt RSA-Schlüssellängen von mindestens 3072 Bit oder ECDSA mit der P-384-Kurve für alle an der Authentifizierung beteiligten Zertifikate. Organisationen, die Zertifikate mit schwächeren Parametern wie RSA 2048-Bit verwenden, können auf Probleme stoßen.

Während SCEPman 4096-Bit-RSA-Schlüssel für Windows unterstützt, ist dies auf den Software Key Storage Provider (KSP) beschränkt, da das Hardware-TPM diese Schlüssellänge nicht unterstützt.

Wenn Sie nach dem Upgrade auf Windows 11 24H2 Authentifizierungsprobleme feststellen, suchen Sie im Ereignisprotokoll (Systemprotokolle und CAPI2) nach "SEC_E_ALGORITHM_MISMATCH"-Fehlern als Hinweis auf Inkompatibilitäten in den kryptografischen Algorithmen zwischen Client und Server.

Was kann ich tun, wenn ich WPA3-Enterprise-Authentifizierung unter Windows verwenden möchte?

Ihre derzeitige Option besteht darin, die Zertifikatsanforderungen für WPA3-Enterprise 192-Bit auf Ihren Windows 11 24H2-Clients zu erfüllen. Dies umfasst die Aktualisierung des Endzertifikats, damit es die neuen Mindestanforderungen erfüllt.

Bitte beachten Sie, dass Intune derzeit keine Option in seinem SCEP-Profil bereitstellt, um eine Schlüssellänge von 3072 Bit anzugeben, die im Trusted Platform Module (TPM) des empfangenden Computers gespeichert werden könnte. Aufgrund dieser Einschränkung ist derzeit die einzige praktikable Lösung für Windows-Clients die Verwendung eines 4096-Bit-RSA-Schlüssels, der im Software Key Storage Provider (KSP) registriert ist.