Allgemeine Anleitung
Konfigurationsschritte
Schritt 1: PKI-Einrichtung
Dies ist ein verpflichtender Schritt.
Kann weggelassen werden, wenn Sie RADIUSaaS nur mit benutzername/passwort-basierter Authentifizierung verwenden.
Richten Sie Ihre PKI so ein, dass die notwendigen Client-Authentifizierungszertifikate automatisch an Ihre Endgeräte verteilt werden.
Wenn Sie eine der untenstehenden PKIs verwenden, folgen Sie bitte stattdessen den entsprechenden Anleitungen:
Microsoft Cloud PKISchritt 2: Einrichtung vertrauenswürdiger CA(s)
Dies ist ein verpflichtender Schritt.
Teilen Sie Ihrer RADIUSaaS-Instanz mit, welche Client-Authentifizierungszertifikate zur Authentifizierung zugelassen werden und wie geprüft wird, ob diese Zertifikate noch gültig sind:
Vertrauenswürdige ZertifikateSchritt 3: Konfiguration des RADIUS-Serverzertifikats
Dies ist ein verpflichtender Schritt.
Da Endgeräte während der Netzwerkauthentifizierung eine TLS-Verbindung zu RADIUSaaS herstellen, muss RADIUSaaS dem Client ein Serverzertifikat präsentieren (das RADIUS-Serverzertifikat). Dieses Zertifikat kann direkt aus dem RADIUSaaS Admin-Portal generiert oder importiert werden, wenn Sie bereits ein geeignetes Zertifikat besitzen (Bring Your Own). Dasselbe Serverzertifikat wird, falls zutreffend, auch verwendet, um die RadSec-Verbindung zu Ihren Authenticator-Geräten (WiFi-Access-Points, Switches, VPN-Gateways) zu sichern.
Falls Sie mit der Verwendung des integrierten Customer-CAzufrieden sind, dessen einziger Zweck darin besteht, das RADIUS-Serverzertifikatauszustellen, sind in diesem Schritt keine weiteren Maßnahmen erforderlich.
Falls Sie lieber Ihr eigenes TLS-Serverzertifikat verwenden möchten, das von Ihrer bevorzugten CA ausgestellt wurde, folgen Sie bitte diesen Schritten.
Schritt 4: Konfiguration der Netzwerkausrüstung
Dies ist ein verpflichtender Schritt.
RadSec
Wenn Ihre Netzwerkausrüstung das RadSec Protokoll unterstützt, folgen Sie den folgenden Schritten:
WiFi Access Points
Für einige beliebte Hersteller haben wir repräsentative Schritt-für-Schritt-Anleitungen zur Einrichtung der RadSec-Verbindung vorbereitet hier. Obwohl wir nicht für jeden Hersteller Dokumentation bereitstellen können, gelten im Allgemeinen die folgenden Schritte:
Importieren Sie Ihr aktives RADIUS-Serverzertifikat in Ihre WiFi-Infrastruktur.
Fügen Sie das CA-Zertifikat hinzu, von dem Ihre APs ihr RadSec-Verbindungszertifikat bezogen haben, zu Ihrer Liste vertrauenswürdiger Zertifikate wie beschrieben hier.
Erstellen Sie ein neues RADIUS-Profil.
Setzen Sie die IP-Adresse und den Port Ihres Servers in Ihrem RADIUS-Profil. Verwenden Sie dafür die öffentliche RadSec-IP-Adresse und den Standard-RadSec-Port (2083).
Setzen Sie das Gemeinsames Geheimnis auf "radsec", falls zutreffend.
Weisen Sie das erstellte Profil Ihren SSID(s) zu.
Verdrahtete (LAN) Switches
Derzeit haben wir noch keine Beispielanleitungen für Netzwerk-Switches vorbereitet. Die Konfigurationsschritte ähneln jedoch denen für WiFi Access Points. Falls Sie Schwierigkeiten haben, bitte kontaktieren Sie uns.
RADIUS
Wenn Ihre Netzwerkausrüstung RadSec nicht unterstützt, müssen Sie zunächst Proxys bereitstellen, die die Protokollkonvertierung von RADIUS auf RadSec :
Proxy-Einstellungenvornehmen. Fahren Sie anschließend mit der Konfiguration Ihrer Geräte fort:
WiFi Access Points
Für einige beliebte Hersteller haben wir repräsentative Schritt-für-Schritt-Anleitungen vorbereitet hier. Obwohl wir nicht für jeden Hersteller Dokumentation bereitstellen können, gelten im Allgemeinen die folgenden Schritte:
Erstellen Sie ein neues RADIUS-Profil.
Konfigurieren Sie einen externen RADIUS-Server:
Als Server-IP-Adresse konfigurieren Sie die IP-Adresse Ihres Proxy-.
Nehmen Sie das gemeinsame Geheimnis von Ihrem Servereinstellungen Seite.
Konfigurieren Sie die Standard-Ports für RADIUS-Authentifizierung (1812) und Accounting (1813 - optional).
Weisen Sie das erstellte Profil Ihren SSID(s) zu.
Verdrahtete (LAN) Switches
Derzeit haben wir noch keine Beispielanleitungen für Switch-Appliances vorbereitet. Die Konfigurationsschritte ähneln jedoch denen für WiFi Access Points. Falls Sie Schwierigkeiten haben, bitte kontaktieren Sie uns.
Schritt 5: Konfigurieren Sie Ihre MDM-Profile
Dies ist ein verpflichtender Schritt.
Für Jamf Pro
Wir empfehlen dringend, alle für 802.1X relevanten Payloads in einem einzigen Konfigurationsprofil in Jamf Pro zu konfigurieren - und ein Konfigurationsprofil pro Zuweisungstyp (Computer, Geräte, Benutzer).
Serverzertifikats
Um Vertrauen zwischen Ihren Endgeräten und dem Serverzertifikat, das RADIUSaaS bei der Authentifizierung präsentiert, zu ermöglichen, konfigurieren Sie ein vertrauenswürdiges Zertifikatsprofil in Ihrer bevorzugten MDM-Lösung. Laden Sie dazu zuerst das Root-CA-Zertifikat herunter, das Ihr derzeit aktives RADIUS-Serverzertifikat ausgestellt hat, wie beschrieben hier.
Beim Herunterladen des relevanten Zertifikats stellen Sie sicher, nur Download- das Root-CA- Zertifikat Ihres derzeit aktiven RADIUS-Serverzertifikats (grün hervorgehoben) herunterzuladen - nicht die gesamte Kette oder das RADIUS-Serverzertifikat selbst!
Fahren Sie fort, dieses Zertifikat per MDM zu verteilen:
Microsoft Intune
ServervertrauenJamf Pro
ServervertrauenWiFi-Profil
Um ein WiFi-Profil in Ihrer bevorzugten MDM-Lösung zu konfigurieren, folgen Sie einer dieser Anleitungen:
Microsoft Intune
WiFi-ProfilJamf Pro
WiFi-ProfilVerdrahtetes (LAN) Profil
Um ein verdrahtetes (LAN) Profil für Ihre stationären Geräte in Ihrer bevorzugten MDM-Lösung zu konfigurieren, folgen Sie einer dieser Anleitungen:
Microsoft Intune
Kabelgebundenes ProfilJamf Pro
Kabelgebundenes ProfilSchritt 6: Regeln
Dies ist ein optionale Schritt.
Wenn Sie zusätzliche Regeln konfigurieren möchten, zum Beispiel um VLAN-IDs zuzuweisen oder Authentifizierungsanfragen auf bestimmte vertrauenswürdige CAs oder WiFi-Access-Points zu beschränken, sehen Sie sich bitte die RADIUSaaS Rule Engine an.
RegelnZuletzt aktualisiert
War das hilfreich?