Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.
Ctrlk

Meraki

Um die RadSec-Funktion auf Ihren Meraki APs zu nutzen, ist die Firmware-Version MR 30.X oder höher erforderlich.

Kunden haben Verzögerungen zwischen der Aktivierung der RadSec-Funktion im Meraki Dashboard und der Funktionsfähigkeit gemeldet.

Zertifikate vorbereiten

Die Meraki-Plattform erlaubt es Ihnen nicht, RadSec-Client-Zertifikate von einer CA Ihrer Wahl zu erstellen. Stattdessen müssen Sie die integrierte Organization CA von Meraki verwenden, die eindeutig Ihrer Meraki Organization zugeordnet ist.

Laden Sie das Root-Zertifikat der CA herunter, die Ihr aktives RADIUS Server Certificate ausgestellt hat, wie hierbeschrieben. Sie müssen es später in Ihre Meraki-Konsole hochladen.

Meraki-Konfiguration

Die folgenden Einstellungen sind erforderlich, um eine funktionierende RadSec-Verbindung mit unserem Service herzustellen. Konfigurieren Sie alle weiteren Einstellungen nach Bedarf.

Stellen Sie sicher, dass Sie die OCSP-Widerrufsprüfung des RadSec-Client-Zertifikats deaktivieren wie in Schritt 7 dieser Anleitung beschrieben.

1

Navigieren Sie zu Ihrem Meraki Dashboard

Wählen Sie in Ihrem Dashboard Wireless > Access Control und stellen Sie sicher, dass Sie auf die neue UI-Version der Access-Control-Seite umgeschaltet haben:

2

Konfigurieren Sie den RADIUS-Server in Ihrem SSID

Wählen Sie das SSID aus, für das Sie die RADIUS-Authentifizierung konfigurieren möchten (oder navigieren Sie zu Wireless > Configure > SSIDs um zunächst ein neues SSID zu erstellen).

Im Security -Abschnitt Ihres SSID wählen Sie Enterprise with und im Dropdown-Menü my RADIUS server:

Unter RADIUSklicken Sie auf Add server. Konfigurieren Sie die Host IP or FQDN so, dass sie mit der IP-Adresse oder dem DNS-Namen Ihres RadSec service endpointübereinstimmt, setzen Sie den Port auf 2083 und setzen Sie den Secret -Wert auf "radsec" und aktivieren Sie das RadSec -Kontrollkästchen.

3

EAP-Timeouts konfigurieren

Konfigurieren Sie EAP-Parameter und Timeouts gemäß diesem Referenzleitfaden, indem Sie zu Wireless > Radius > Advanced RADIUS settings. Nach der Konfiguration sollte es ähnlich wie im folgenden Screenshot aussehen. Klicken Sie auf Save um die Einstellungen zu übernehmen.

4

RadSec-Serverzertifikat hinzufügen

Um die erforderlichen Zertifikate hochzuladen und zu erzeugen, die die RadSec-Verbindung funktionsfähig machen, navigieren Sie zu Organization > Certificates > RADSEC.

In der oberen Tabelle klicken Sie auf Upload certificate und stellen Sie das Root-Zertifikat der CA bereit, die Ihr RADIUS Server Certificatesigniert hat, das Sie bereits in diesem Schrittheruntergeladen haben sollten. Ihre Meraki APs vertrauen nun Ihrem RADIUS-Server.

5

Organization CA erstellen

Unter RadSec AP Certificates, erstellen Sie zunächst eine Organization CA indem Sie auf Generate CAklicken. Diese CA ist eindeutig Ihrer Meraki Organization zugeordnet. Die Meraki-Plattform generiert nun automatisch RadSec-Client-Zertifikate für alle Ihre APs, die von dieser CA signiert werden. Die Lebensdauer des Zertifikats ist sehr lang (> 50 Jahre), d. h. Sie müssen sich keine Gedanken über eine Erneuerung machen.

Laden Sie das Root-CA-Zertifikat Ihrer Organization CA Ihres Meraki-Systems herunter, indem Sie auf Download CA.

klicken. Sie können bei Meraki keine RadSec-Client-Zertifikate einer anderen CA hochladen. Stattdessen stellt die Organization CA, die eindeutig Ihrer Organisation zugeordnet ist, allen Ihren Access Points geeignete Zertifikate bereit.

6

Organization CA in RADIUSaaS vertrauen

Laden Sie nun das heruntergeladene CA-Zertifikat in Ihre Trusted Certificates in Ihrer RADIUSaaS-Webkonsole hoch und wählen Sie RadSec unter Use for.

7

Widerrufsprüfung für RadSec-Zertifikate deaktivieren

Deaktivieren Sie schließlich die Widerrufsprüfung für die RadSec-Client-Zertifikate in Ihrer RADIUSaaS-Instanz (dies beeinträchtigt die Sicherheit nicht negativ, da die Meraki Organization CA das Widerrufen von RadSec-Client-Zertifikaten nicht zulässt). Navigieren Sie daher zu Ihrer RADIUSaaS-Instanz und dann Settings > Server Settings und deaktivieren Sie das Kontrollkästchen Verification check for RadSec certificates.

8

Konfiguration testen

Um zu testen, ob die Konfiguration funktioniert, können Sie einen Benutzer in Ihrem Portal anlegen und die Meraki-Testfunktion verwenden.

Referenzen

Link zur Meraki-Dokumentation für die RadSec-Konfiguration: https://documentation.meraki.com/MR/Encryption_and_Authentication/MR_RADSec

Zuletzt aktualisiert

War das hilfreich?