# Allgemein ## Authentifizierung #### Wie oft authentifiziert sich ein Gerät typischerweise gegenüber RADIUSaaS? Das ist schwer zu beantworten, da es vom Verhalten Ihrer Benutzer, Clients und Netzwerkgeräte (APs, NACs, Switches) abhängt. Außerdem ist es **wichtig** zu beachten, dass RADIUSaaS weder * eine Authentifizierung auslösen noch * über seinen Accounting-Port eine Beendigungsanfrage an den Client senden wird, was möglicherweise eine erneute Authentifizierung auslöst. Wenn Sie den Eindruck haben, dass sich Ihre Geräte sehr häufig authentifizieren (mehrmals pro Stunde), ohne dass der Benutzer den Client ständig neu startet, dann kann das die folgenden Gründe haben: * Der Netzwerk-Controller authentifiziert den Client nicht schnell genug, damit der Client dem Netzwerk beitreten kann, sodass der Client erneut versucht, sich zu authentifizieren. Prüfen Sie den Netzwerk-Controller, um zu sehen, ob bzw. wann er eine Antwort von RaaS empfängt. * Der Netzwerk-Controller startet die Authentifizierung erneut. Prüfen Sie den Netzwerk-Controller, um herauszufinden, was dies verursachen könnte. ## RADIUSaaS-Admin-Portal #### Wie kann ich das RADIUSaaS-Admin-Portal zu Meine Apps hinzufügen? **App erstellen** Zuerst müssen Sie eine Enterprise-App erstellen. Um dies über das Azure-Portal zu tun, befolgen Sie diese Schritte: 1. Melden Sie sich bei Ihrem [Azure](https://portal.azure.com/) Konto an 2. Gehen Sie zu **Microsoft Entra ID** 3. Wählen Sie **Enterprise-Anwendungen** 4. Klicken Sie auf **+ Neue Anwendung**

Erstellung einer neuen Anwendung anzeigen

5. Klicken Sie auf **+ Erstellen Sie Ihre eigene Anwendung** 6. Geben Sie einen Namen für die App an (z. B. RADIUSaaS Portal) 7. Wählen Sie **Integrieren Sie eine beliebige andere Anwendung, die Sie in der Galerie nicht finden** und 8. Klicken Sie auf **Erstellen**
Danach ist die App eingerichtet, nun müssen wir Benutzer hinzufügen und das Logo sowie den Link konfigurieren **Benutzer und ein Logo hinzufügen** 1. Unter **Verwalten** gehen Sie zu **Benutzer und Gruppen** - Fügen Sie alle Benutzer/Gruppen hinzu, die Ihr neues URL-Kachel anzeigen/verwenden können sollen, und speichern Sie

Klicken Sie auf "Benutzer und Gruppen"

2. Klicken Sie auf **Eigenschaften** - Laden Sie ein Bildlogo Ihrer Wahl hoch und speichern Sie

Klicken Sie auf "Eigenschaften"

3. Klicken Sie auf **Einmaliges Anmelden** - Wählen Sie **Verknüpft** Modus – Geben Sie dann die gewünschte URL ein und speichern Sie.

Klicken Sie auf Einmaliges Anmelden – wählen Sie den Modus "Verknüpft"

Enter your RADIUSaaS instance URL

Geben Sie die URL Ihrer RADIUSaaS-Instanz ein

**Auf Meine Apps zugreifen** Ihre Benutzer sollten nun über [Meine Apps](https://myapps.microsoft.com/). ## RADIUS-Rückgabeattribute #### Welche VLAN-bezogenen Attribute gibt RADIUSaaS standardmäßig zurück? {% hint style="info" %} Falls Sie andere VLAN-Attribute als die standardmäßig zurückgegebenen benötigen, wenden Sie sich bitte an [unseren Support](https://www.radius-as-a-service.com/help/). {% endhint %} Wenn VLAN-Tagging aktiviert ist, indem eine entsprechende [Regel](/de/admin-portal/settings/rules.md#vlan-assignment)konfiguriert und aktiviert wird, gibt RADIUSaaS die folgenden allgemeinen VLAN-Attribute zurück `"Tunnel-Type": "VLAN"` `"Tunnel-Medium-Type": "802"` `"Tunnel-Private-Group-ID"` zusammen mit den anderen häufig verwendeten herstellerspezifischen VLAN-Attributen: `"WiMAX-VLAN-ID"` `"Nexans-Port-Default-VLAN-ID"` `"Dlink-VLAN-ID"` `"UTStarcom-VLAN-ID"` `"DHCP-IEEE-802.1Q-VLAN-ID"` `"Motorola-WiMAX-VLAN-ID"` `"Telrad-C-VLAN-ID"` `"Telrad-S-VLAN-ID"` `"SN-Assigned-VLAN-ID"` `"Extreme-VM-VLAN-ID"` `"Ruckus-VLAN-ID"` `"Mikrotik-Wireless-VLANID"` `"Egress-VLANID"` `"HP-Egress-VLANID"` ## Sekundäre Instanz und Failover #### Wie verhält sich eine sekundäre Instanz in Bezug auf Failover? Eine sekundäre Instanz bedeutet, dass Sie mindestens einen sekundären RadSec-Server haben, der unabhängig von Ihrer Hauptinstanz arbeitet, aber die gleiche Konfiguration hat. Wenn Sie einen haben, sehen Sie möglicherweise mehrere IP-Adressen unter [RadSec-IP-Adressen](/de/admin-portal/settings/settings-server.md#properties). **RadSec-Verbindung** Da die RadSec-Server voneinander unabhängig sind, übernehmen sie keine Art von Failover. Sie sollten beide IP-Adressen/DNS-Einträge zu Ihrem Netzwerkcontroller hinzufügen, der entscheidet, an welchen Server die Authentifizierungsanfragen weitergeleitet werden. **RADIUS-Verbindung** Bei Ihren RADIUS-Proxys ist es etwas anders: Ihre Proxys kennen jede Ihrer RadSec-Instanzen und deren Zustandsinformationen und übernehmen daher das Failover, wenn der primäre Server ausfällt. ## Timer & Timeouts #### Welche EAP-Parameter und Timeouts sollten konfiguriert werden? Nicht jeder Access Point oder Switch (Authenticator) bietet Ihnen dieselbe Anzahl an Konfigurationsoptionen für EAP- und allgemeine (RADIUS-Server-)Timeout-Parameter. Die unten stehende Übersicht zeigt den uns bekannten maximalen Parametersatz und wie diese konfiguriert werden sollten, um maximale Zuverlässigkeit der Verbindung zwischen dem Authenticator und RADIUSaaS zu ermöglichen. **RADIUS-Server-Timeout** 5 Sekunden **EAP-Parameter**
EAP-Timeout15 s
EAP maximale Wiederholungsversuche5
EAP-Identitäts-Timeout10 s
EAP-Identitäts-Wiederholungen5
EAPOL-Schlüssel-Timeout2000 ms
EAPOL-Schlüssel-Wiederholungen4
## Protokolle #### Wie kann ich die öffentliche IP-Adresse des Standorts identifizieren, von dem eine Authentifizierung ausgeht? Um die öffentliche IP des authentifizierenden Standorts für eine bestimmte Authentifizierung zu identifizieren, hängt das Vorgehen davon ab, ob Sie eine RADIUS-Verbindung (über die RADIUS-Proxys) oder eine direkte RadSec-Verbindung verwenden: **RadSec-Verbindung** * Navigieren Sie zu **Insights > Protokolle**. * Konfigurieren Sie den relevanten Zeitraum / das Suchfenster. * Setzen Sie den **Protokolltyp** Filter auf **Details**. * Identifizieren Sie die relevante Authentifizierung (durch Abgleich von Zeitstempel und Benutzername). * Identifizieren Sie eine `Access-Request` Nachricht (**Nachricht > Packet-Type** = **Access-Request**), die zu der untersuchten Authentifizierung gehört. * Erweitern Sie den jeweiligen Protokolleintrag. * Die öffentliche IP kann aus der **Nachricht > Packet-Src-IP-Address** Eigenschaft des Protokolleintrags entnommen werden.
**RADIUS-Verbindung** * Navigieren Sie zu **Insights > Protokolle**. * Konfigurieren Sie den relevanten Zeitraum / das Suchfenster. * Setzen Sie den **Protokolltyp** Filter auf die **Proxy**. * Identifizieren Sie die relevante Authentifizierung (durch Abgleich von Zeitstempel und Benutzername). * Die öffentliche IP kann aus der **Nachricht** Eigenschaft des Protokolleintrags:
## Unterstützt RADIUSaaS WPA3 Enterprise? Ja, RADIUSaaS unterstützt WPA3 Enterprise. Es unterstützt auch den 192-Bit-Modus von WPA3 Enterprise mit der folgenden Einschränkung: **Windows 11 24H2** führte strengere Zertifikatsanforderungen für WPA3-Enterprise-192-Bit-Verschlüsselung ein, was zu Authentifizierungsfehlern führt, wenn die gesamte Zertifikatskette nicht bestimmte Standards für kryptografische Stärke erfüllt. Dieses Update schreibt RSA-Schlüssellängen von mindestens 3072 Bit oder ECDSA mit der P-384-Kurve für alle an der Authentifizierung beteiligten Zertifikate vor. Organisationen, die Zertifikate mit schwächeren Parametern wie RSA 2048 Bit verwenden, können auf Probleme stoßen. Während SCEPman 4096-Bit-RSA-Schlüssel für Windows unterstützt, ist dies auf den Software Key Storage Provider (KSP) beschränkt, da das Hardware-TPM diese Schlüssellänge nicht unterstützt. Wenn nach dem Upgrade auf Windows 11 24H2 Authentifizierungsprobleme auftreten, suchen Sie im Ereignisprotokoll (Systemprotokolle und CAPI2) nach "SEC\_E\_ALGORITHM\_MISMATCH"-Fehlern als Hinweis auf Inkompatibilität in den kryptografischen Algorithmen zwischen Client und Server. ### Was kann ich tun, wenn ich WPA3-Enterprise-Authentifizierung unter Windows verwenden möchte? Ihre aktuelle Möglichkeit besteht darin, die Zertifikatsanforderungen für WPA3-Enterprise 192-Bit auf Ihren Windows 11 24H2-Clients zu erfüllen. Dazu gehört die Aktualisierung des Leaf-Zertifikats, um die neuen Mindestanforderungen zu erfüllen. Bitte beachten Sie, dass Intune derzeit in seinem SCEP-Profil keine Option enthält, eine Schlüssellänge von 3072 Bit anzugeben, die im Trusted Platform Module (TPM) des empfangenden Computers gespeichert werden könnte. Aufgrund dieser Einschränkung ist derzeit die einzige praktikable Lösung für Windows-Clients, einen 4096-Bit-RSA-Schlüssel zu verwenden, der im Software Key Storage Provider (KSP) registriert ist. {% hint style="success" %} Da das WiFi-Profil von Intune nur WPA2-Enterprise bereitstellt, müssen Sie ein externes Tool verwenden, um ein WPA3-Enterprise-WiFi-Profil zu erstellen. Der Einfachheit halber enthält RADIUSaaS dieses Tool [hier](https://docs.radiusaas.com/admin-portal/settings/trusted-roots#xml). {% endhint %} ## Identitätsanbieter ### **Unterstützt RADIUSaaS Okta als Identitätsanbieter?** * **Ja** für die Anmeldung von Administratoren und Benutzern an der Web-Konsole * **Nein** für die Authentifizierung über das RADIUS-Protokoll #### **Anmeldung im Benutzer- und Admin-Portal (Web-Konsole)** Okta wird als Identitätsanbieter für die Anmeldung am RADIUSaaS-Web-Portal vollständig unterstützt. RADIUSaaS verwaltet keine eigenen Administratoridentitäten, sondern delegiert die Authentifizierung an Ihren vorhandenen Identitätsanbieter, sodass sich Administratoren, Betrachter und eingeladene Benutzer mit ihren Okta-Konten anmelden können. Okta wird über die **Benutzerdefinierter OIDC-Provider** Option im [Berechtigungen](/de/admin-portal/settings/permissions.md#custom-oidc-provider-okta) Abschnitt integriert. Die Schritt-für-Schritt-Einrichtungsanweisungen, einschließlich der erforderlichen Redirect-URI, Authentifizierungs- und Token-URLs, Client-ID, des Client-Geheimnisses und des `openid email` Scopes, sind im [Berechtigungen](/de/admin-portal/settings/permissions.md#overview) Artikel dokumentiert. #### **Authentifizierung über das RADIUS-Protokoll (WLAN, kabelgebundenes 802.1X, VPN)** Okta wird **nicht** als Identitätsanbieter für Authentifizierungen unterstützt, die über das RADIUS-Protokoll erfolgen. Wie im [Benutzer](/de/admin-portal/users.md) Abschnitt beschrieben, integriert RADIUSaaS sich nicht mit einem externen IDP für eine auf Benutzername/Passwort basierende Netzwerkauthentifizierung. Alle für die RADIUS-Authentifizierung verwendeten Benutzername/Passwort-Konten müssen direkt im RADIUSaaS-Admin-Portal erstellt und verwaltet werden. {% hint style="info" %} Für die netzwerkbasierte Authentifizierung über RADIUS empfehlen wir generell **von** Benutzername/Passwort-Ansätzen ab, die auf einem externen Identitätsanbieter beruhen. Solche Setups erfordern, dass Anmeldeinformationen während der Netzwerkauthentifizierung übertragen oder weitergeleitet werden, und vergrößern die Angriffsfläche auf eine Weise, die wir als relevantes Sicherheitsrisiko ansehen. Verwenden Sie, wo immer möglich, **zertifikatsbasierte Authentifizierung** (EAP-TLS) stattdessen. Hintergrundinformationen und eine detaillierte Erklärung der Risiken einer passwortbasierten Netzwerkauthentifizierung finden Sie unter [Zertifikatsbasierte Netzwerkauthentifizierung](https://www.scepman.com/certificate-network-authentication/). {% endhint %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.radiusaas.com/de/andere/faqs/general.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.