Gilt für: WatchGuard Cloud-verwaltete Access Points (AP130, AP230W, AP330, AP332CR, AP430CR, AP432)
RADIUS (Entfernt Authentication Dial-In User Service) authentifiziert lokale und entfernte Benutzer in einem Netzwerk eines Unternehmens. RADIUS ist ein Client/Server-System, das die Authentifizierungsinformationen für Benutzer, Remote Access Server, VPN-Gateways und andere Ressourcen in einer zentralen Datenbank speichert.
Um einen Access Point in Wi-Fi in WatchGuard Cloud für die RADIUS-Authentifizierung zu konfigurieren, können Sie einen RADIUS-Server zu einer Authentifizierungsdomäne hinzufügen und die Access Points in Ihrem Konto so konfigurieren, dass sie diese Domäne zur Authentifizierung verwenden.
Anschließend können Sie eine WLAN-Netzwerk-SSID mit WPA2 Enterprise oder WPA3 Enterprise konfigurieren, um WLAN-Clients gegenüber dem RADIUS-Server zu authentifizieren.
Der WLAN-Client authentifiziert sich mittels Extensible Authentication Protocol (EAP) beim RADIUS-Server.
Bevor Sie beginnen
Bevor Sie Ihren Access Point für die Verwendung eines RADIUS-Authentifizierungsservers konfigurieren können, müssen für jeden RADIUS-Server diese Informationen vorliegen:
- RADIUS-Server — IP-Adresse und RADIUS-Port für den RADIUS-Authentifizierungsserver.
- Gemeinsames Geheimnis — Dieses Passwort, bei dem zwischen Groß- und Kleinschreibung unterschieden wird, muss in der Konfiguration der WatchGuard Cloud-Authentifizierungsdomäne und auf dem RADIUS-Server identisch sein.
- RADIUS-Rechnungslegungsserver (optional) — IP-Adresse und RADIUS-Port des RADIUS-Rechnungslegungsservers. Bei vielen Bereitstellungen befinden sich Authentifizierungs- und Rechnungslegungsdienste auf demselben RADIUS-Server und laufen über unterschiedliche Ports.
Ein RADIUS-Rechnungslegungsserver überwacht den RADIUS-Datenverkehr und erhebt Daten über Client-Sitzungen, beispielsweise Beginn und Ende einer Sitzung. Sie könnten einen RADIUS-Rechnungslegungsserver beispielsweise für die Bereitstellung von RADIUS SSO (Single Sign-On, Einmalanmeldung) konfigurieren müssen. Weitere Informationen zum Konfigurieren von RADIUS SSO bei WatchGuard-Access Points und einer Firebox finden Sie unter Über RADIUS Single Sign-On. - Authentifizierungsmethoden — Konfigurieren Sie Ihren RADIUS-Server so, dass er die Authentifizierungsmethode (eine beliebige Methode auf EAP-Basis) zulässt, die Ihr Access Point und die Clients verwenden.
Über NAS-Attribute für Access Points
Die Network Access Server (NAS)-Attribute sind Daten, die im vom Access Point an den RADIUS-Server gesendeten Anfragepaket enthalten sind, um spezifische Elemente über Access Point und Client für den RADIUS-Server zu identifizieren. Mithilfe dieser Attribute kann der RADIUS-Server diese Daten für Authentifizierung, Autorisierung, Rechnungslegung und Funktionen zur dynamischen Client-Profil-Zuweisung nutzen.
Ab Access Point-Firmware v2.1 können Sie die Called Station ID und NAS ID in den erweiterten Einstellungen einer SSID benutzerdefiniert anpassen. Weitere Informationen finden Sie unter SSID-Einstellungen von Access Points konfigurieren.
Access Point-Firmware v2.1 oder höher
- Called Station ID — Die Called Station ID ist standardmäßig der Name der SSID und die MAC-Adresse des Access Points [SSID]-[MAC-Adresse].
Zum Beispiel: MySSID-00-aa-00-bb-00-cc
Sie können die Called Station ID auch in den Erweiterten SSID Einstellungen benutzerdefiniert anpassen. Sie können benutzerdefinierten Text in Verbindung mit den vordefinierten Variablen eingeben. Die maximale Länge des Felds beträgt 32 Zeichen. Die maximale Länge der Called Station ID beträgt bei variabler Erweiterung 84 Zeichen. - %m — MAC-Adresse der Access Point-Ethernet-Schnittstelle
- %s — SSID-Name
- %n — Gerätename
- NAS ID — Die NAS ID ist standardmäßig der Name der SSID und die MAC-Adresse des Access Points [SSID]-[MAC-Adresse]. Zum Beispiel: MySSID-00-aa-00-bb-00-cc
Sie können die NAS ID auch in den Erweiterten SSID Einstellungen benutzerdefiniert anpassen. Sie können benutzerdefinierten Text in Verbindung mit den vordefinierten Variablen eingeben. Die maximale Länge des Felds beträgt 32 Zeichen. Die maximale Länge der NAS ID beträgt bei variabler Erweiterung 84 Zeichen. - %m — MAC-Adresse der Access Point-Ethernet-Schnittstelle
- %s — SSID-Name
- %n — Gerätename
- NAS IP-Adresse — Die IP-Adresse des Access Points. Dies kann eine statische oder DHCP-IP-Adresse sein. Wir empfehlen Ihnen, statische oder reservierte DHCP-IP-Adressen für Access Points zu nutzen, die mit RADIUS-Servern kommunizieren.
- NAS-Port — Der NAS-Port ist standardmäßig auf 0 eingestellt und kann nicht geändert werden.
Access Point-Firmware v2.0 oder niedriger
In Access Point-Firmware v2.0 oder niedriger können Sie die RADIUS-Attribute nicht ändern.
- Called Station ID — Die Called Station ID ist die MAC-Adresse des Access Points.
Zum Beispiel: 00-aa-00-bb-00-cc - NAS ID — Die NAS ID ist der Name der SSID.
Zum Beispiel: MySSID - NAS IP-Adresse — Die IP-Adresse des Access Points. Dies kann eine statische oder DHCP-IP-Adresse sein. Wir empfehlen Ihnen, statische oder reservierte DHCP-IP-Adressen für Access Points zu nutzen, die mit RADIUS-Servern kommunizieren.
- NAS-Port — Der NAS-Port ist standardmäßig auf 0 eingestellt und kann nicht geändert werden.
RADIUS-Authentifizierung für Access Points konfigurieren
Damit die RADIUS-Server-Authentifizierung mit einem in WatchGuard Cloud verwalteten Access Point genutzt werden kann, müssen Sie Folgendes durchführen:
- Fügen Sie die IP-Adresse des Access Points zum RADIUS-Server hinzu, um das Gerät als RADIUS-Client zu konfigurieren. Wir empfehlen Ihnen, statische oder reservierte DHCP-IP-Adressen für Access Points zu nutzen, die mit RADIUS-Servern kommunizieren.
- Hinzufügen des RADIUS-Servers zu einer WatchGuard Cloud-Authentifizierungsdomäne und Angabe der IP-Adresse des Servers und des gemeinsamen Geheimnisses. Weitere Informationen finden Sie unter Authentifizierungsdomäne zu WatchGuard Cloud hinzufügen.
- Falls Sie über einen RADIUS-Rechnungslegungsserver verfügen, fügen Sie diesen zur gleichen Authentifizierungsdomäne hinzu. Weitere Informationen finden Sie unter Server zu einer Authentifizierungsdomäne hinzufügen.
- Fügen Sie die Authentifizierungsdomäne zur Access Point-Konfiguration hinzu. Weitere Informationen finden Sie unter Access Point-Authentifizierungsdomänen.
- Konfigurieren Sie eine SSID mit WPA2 Enterprise- oder WPA3 Enterprise-Sicherheit und wählen Sie eine Authentifizierungsdomäne mit einem konfigurierten RADIUS-Server.
Bei WPA3 Enterprise können Sie auch den 192-Bit-Modus (WPA3 Enterprise Suite B) aktivieren, um die Verschlüsselungssicherheit in sensiblen Firmenumgebungen zu erhöhen. Der WPA3 Enterprise 192-Bit-Modus erfordert Access Point-Firmware v2.1 oder höher. Weitere Informationen finden Sie unter SSID-Einstellungen von Access Points konfigurieren.
Wenn Sie die WPA2 oder WPA3 Enterprise-Authentifizierung auf Access Points mit Firmware v2.2 und höher konfigurieren, können Sie auch Dynamische VLANs aktivieren, mit denen Sie dem WLAN-Client nach erfolgreicher Authentifizierung basierend auf den vom RADIUS-Server bereitgestellten Benutzerinformationen dynamisch VLAN-IDs zuweisen können. Weitere Informationen finden Sie unter Access Point Dynamische VLANs konfigurieren.
RADIUS-Integration mit Firebox und Drittanbieter-Servern
Informationen zum Konfigurieren von RADIUS SSO (Single Sign-On) mit Access Points und einer Firebox von WatchGuard finden Sie unter Über RADIUS Single Sign-On.
Informationen über die Integration der RADIUS-Authentifizierung und Microsoft Active Directory und NPS finden Sie unter Wi-Fi in WatchGuard Cloud-Clients mit Microsoft Active Directory und NPS authentifizieren.
Access Point-Authentifizierungsdomänen