circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

Generische Anleitung

1

hashtag
PKI-Einrichtung

circle-exclamation

Dies ist ein verpflichtender Schritt.

Kann weggelassen werden, wenn Sie RADIUSaaS mit nur benutzername/passwort-basierter Authentifizierung verwenden.

Richten Sie Ihre PKI so ein, dass die notwendigen Client-Authentifizierungszertifikate automatisch an Ihre Endgeräte verteilt werden.

Wenn Sie eine der unten aufgeführten PKIs verwenden, folgen Sie bitte stattdessen den entsprechenden Anleitungen:

Microsoft Cloud PKIchevron-right
2

hashtag
Einrichtung vertrauenswürdiger CA(s)

circle-exclamation

Dies ist ein verpflichtender Schritt.

Sagen Sie Ihrer RADIUSaaS-Instanz, welche Client-Authentifizierungszertifikate zur Authentifizierung zugelassen sind und wie geprüft wird, ob diese Zertifikate noch gültig sind:

Vertrauenswürdige Zertifikatechevron-right
3

hashtag
RADIUS-Serverzertifikat-Konfiguration

circle-exclamation

Dies ist ein verpflichtender Schritt.

circle-info

Für Kunden, die SCEPman als PKI verwenden, empfehlen wir, die SCEPman-Integration zu nutzen, um den Lebenszyklus des RADIUS-Serverzertifikats vollständig zu automatisieren.

Da Endgeräte während der Netzwerkauthentifizierung eine TLS-Verbindung zu RADIUSaaS aufbauen, muss RADIUSaaS dem Client ein Serverzertifikat präsentieren (das Lebenszyklus des RADIUS-Serverzertifikats). Dieses Zertifikat kann direkt aus dem RADIUSaaS-Admin-Portal generiert oder importiert werden, wenn Sie bereits ein geeignetes Zertifikat besitzen (BYO). Dasselbe Serverzertifikat wird, falls zutreffend, auch verwendet, um die RadSec-Verbindung zu Ihren Authenticator-Geräten (WLAN-Access-Points, Switches, VPN-Gateways) abzusichern.

Falls Sie mit der eingebauten Kunden-CAzufrieden sind, deren einziger Zweck darin besteht, das Lebenszyklus des RADIUS-Serverzertifikatsauszustellen, sind für diesen Schritt keine weiteren Maßnahmen erforderlich.

Falls Sie Ihr eigenes TLS-Serverzertifikat Ihrer bevorzugten CA verwenden möchten, folgen Sie bitte diesen Schritten.

4

hashtag
Netzwerkgeräte-Konfiguration

circle-exclamation

Dies ist ein verpflichtender Schritt.

hashtag
RadSec

Wenn Ihre Netzwerkausstattung das RadSec Protokoll unterstützt, folgen Sie den untenstehenden Schritten:

hashtag
WLAN-Access-Points

Für einige bekannte Hersteller haben wir beispielhafte Schritt-für-Schritt-Anleitungen zur Einrichtung der RadSec-Verbindung hier. Obwohl wir nicht für jeden Hersteller Dokumentation bereitstellen können, gelten im Allgemeinen die folgenden Schritte:

  1. Importieren Sie Ihr aktives Lebenszyklus des RADIUS-Serverzertifikats in Ihre WLAN-Infrastruktur.

  2. Fügen Sie das CA-Zertifikat hinzu, von dem Ihre APs ihr RadSec-Verbindungszertifikat bezogen haben, zu Ihrer Liste vertrauenswürdiger Zertifikate wie beschrieben hier.

  3. Erstellen Sie ein neues RADIUS-Profil.

  4. Tragen Sie die IP-Adresse und den Port Ihres Servers in Ihrem RADIUS-Profil ein. Verwenden Sie dazu die öffentliche RadSec-IP-Adresse und den Standard-RadSec-Port (2083).

  5. Setzen Sie das Shared Secret auf „radsec“, falls zutreffend.

  6. Weisen Sie das erstellte Profil Ihren SSID(s) zu.

hashtag
Kabelgebundene (LAN) Switches

Derzeit haben wir noch keine Beispielanleitungen für Netzwerkswitches vorbereitet. Die Konfigurationsschritte ähneln jedoch denen für WLAN-Access-Points. Falls Sie auf Schwierigkeiten stoßen, bitte kontaktieren Sie unsarrow-up-right.

hashtag
RADIUS

Wenn Ihre Netzwerkausstattung RadSec nicht unterstützt, müssen Sie zunächst Proxies bereitstellen, die die Protokollumsetzung von RADIUS auf RadSec :

Proxy-Einstellungenchevron-right

übernehmen.

hashtag
WLAN-Access-Points

Fahren Sie anschließend mit der Konfiguration Ihrer Geräte fort: hier. Obwohl wir nicht für jeden Hersteller Dokumentation bereitstellen können, gelten im Allgemeinen die folgenden Schritte:

  1. Erstellen Sie ein neues RADIUS-Profil.

  2. Für einige bekannte Hersteller haben wir repräsentative Schritt-für-Schritt-Anleitungen vorbereitet

  3. Weisen Sie das erstellte Profil Ihren SSID(s) zu.

hashtag
Kabelgebundene (LAN) Switches

Konfigurieren Sie die Standardports für RADIUS-Authentifizierung (1812) und Accounting (1813 - optional). kontaktieren Sie unsarrow-up-right.

5

hashtag
Derzeit haben wir noch keine Beispielanleitungen für Switch-Geräte vorbereitet. Die Konfigurationsschritte ähneln jedoch denen für WLAN-Access-Points. Falls Sie auf Schwierigkeiten stoßen, bitte

circle-exclamation

Dies ist ein verpflichtender Schritt.

circle-check

MDM-Profile

Für Jamf Pro Wir empfehlen dringend, alle 802.1X-relevanten Payloads in einem einzigen

hashtag
Konfigurationsprofil in Jamf Pro zu konfigurieren – und ein Konfigurationsprofil pro Zuweisungstyp (Computer, Geräte, Benutzer).

Serverzertifikat Lebenszyklus des RADIUS-Serverzertifikats Um Vertrauen zwischen Ihren Endgeräten und dem Serverzertifikat, das RADIUSaaS bei der Authentifizierung präsentiert, zu ermöglichen, konfigurieren Sie ein vertrauenswürdiges Zertifikatsprofil in Ihrer bevorzugten MDM-Lösung. Laden Sie dazu zunächst das Root-CA-Zertifikat herunter, das Ihr derzeit aktives hier.

triangle-exclamation

ausgestellt hat, wie beschrieben Beim Herunterladen des relevanten Zertifikats stellen Sie sicher, nur das Root-CA- Zertifikat Ihres derzeit aktiven RADIUS-Serverzertifikats (grün hervorgehoben) herunterzuladen – nicht die gesamte Kette oder das RADIUS-Serverzertifikat selbst!

Fahren Sie dann fort, dieses Zertifikat per MDM zu verteilen:

hashtag
Microsoft Intune

Serververtrauenchevron-right

hashtag
Jamf Pro

Serververtrauenchevron-right

hashtag
WLAN-Profil

Um ein WLAN-Profil in Ihrer bevorzugten MDM-Lösung zu konfigurieren, folgen Sie einer dieser Anleitungen:

hashtag
Microsoft Intune

WLAN-Profilchevron-right

hashtag
Jamf Pro

WLAN-Profilchevron-right

hashtag
Kabelgebundenes (LAN) Profil

Um ein kabelgebundenes (LAN) Profil für Ihre stationären Geräte in Ihrer bevorzugten MDM-Lösung zu konfigurieren, folgen Sie einer dieser Anleitungen:

hashtag
Microsoft Intune

Kabelgebundenes Profilchevron-right

hashtag
Jamf Pro

Kabelgebundenes Profilchevron-right
6

hashtag
Berechtigungen und technische Kontakte

7

hashtag
Regeln

circle-info

Dies ist ein optional Schritt.

Wenn Sie zusätzliche Regeln konfigurieren möchten, z. B. um VLAN-IDs zuzuweisen oder Authentifizierungsanfragen auf bestimmte vertrauenswürdige CAs oder WLAN-Access-Points zu beschränken, sehen Sie sich bitte die RADIUSaaS-Rule Engine an.

Regelnchevron-right
Regelnchevron-right

Zuletzt aktualisiert

War das hilfreich?