RADIUS-Authentifizierung für einen Access Point konfigurieren

Gilt für: WatchGuard Cloud-verwaltete Access Points (AP130, AP330, AP332CR, AP430CR, AP432)

RADIUS (Entfernt Authentication Dial-In User Service) authentifiziert lokale und entfernte Benutzer in einem Netzwerk eines Unternehmens. RADIUS ist ein Client/Server-System, das die Authentifizierungsinformationen für Benutzer, Remote Access Server, VPN-Gateways und andere Ressourcen in einer zentralen Datenbank speichert.

Um einen Access Point in Wi-Fi in WatchGuard Cloud für die RADIUS-Authentifizierung zu konfigurieren, können Sie einen RADIUS-Server zu einer Authentifizierungsdomäne hinzufügen und dann die Access Points in Ihrem Konto so konfigurieren, dass sie diese Domäne zur Authentifizierung verwenden.

Der WLAN-Client authentifiziert sich mittels Extensible Authentication Protocol (EAP) beim RADIUS-Server.

Bevor Sie beginnen

Bevor Sie Ihren Access Point für die Verwendung eines RADIUS-Authentifizierungsservers konfigurieren können, müssen für jeden RADIUS-Server diese Informationen vorliegen:

RADIUS-Server — IP-Adresse und RADIUS-Port für den RADIUS-Authentifizierungsserver. Sie können eine weiteren Server als Backup für den RADIUS-Authentifizierungsserver hinzufügen.
Gemeinsames Geheimnis — Dieses Passwort, bei dem zwischen Groß- und Kleinschreibung untesrchieden wird, muss in der Konfiguration der WatchGuard Cloud-Authentifizierungsdomäne und auf dem RADIUS-Server identisch sein.
RADIUS-Rechnungslegungsserver (optional) — IP-Adresse und RADIUS-Port des RADIUS-Rechnungslegungsservers. Bei vielen Bereitstellungen befinden sich Authentifizierungs- und Rechnungslegungsdienste auf demselben RADIUS-Server und laufen über unterschiedliche Ports.
Ein RADIUS-Rechnungslegungsserver überwacht den RADIUS-Datenverkehr und erhebt Daten über Client-Sitzungen, wie zum Beispiel Beginn und Ende einer Session. Sie könnten einen RADIUS-Rechnungslegungsserver beispielsweise für die Bereitstellung von RADIUS SSO (Single Sign-On, Einmalanmeldung) konfigurieren müssen. Weitere Informationen zum Konfigurieren von RADIUS SSO bei WatchGuard-Access Points und einer Firebox finden Sie unter About RADIUS Single Sign-On.
Authentifizierungsmethoden — Konfigurieren Sie Ihren RADIUS-Server so, dass er die Authentifizierungsmethode (eine beliebige Methode auf EAP-Basis) zulässt, die Ihr Access Point und die Clients verwenden.

Über NAS-Attribute für Access Points

Die Network Access Server(NAS)-Attribute sind Daten, die im vom Access Point an den RADIUS-Server gesendeten Anfragepaket enthalten sind, um spezifische Elemente über Access Point und Client für den RADIUS-Server zu identifizieren. Mithilfe dieser Attribute kann der RADIUS-Server diese Daten für Authentifizierung, Autorisierung, Rechnungslegung und Funkionen zur dynamischen Client-Profil-Zuweisung nutzen.

Ab Access Point-Firmware v2.1 können Sie die Called Station ID und NAS ID in den erweiterten Einstellungen einer SSID benutzerdefiniert anpassen. Weitere Informationen finden Sie unter Konfiguration der SSID-Einstellungen von Access Points.

Access Point-Firmware v2.1 oder höher

Called Station ID — Die Called Station ID ist standardmäßig der Name der SSID und die MAC-Adresse des Access Points [SSID]-[MAC-Adresse].
Zum Beispiel: MySSID-00-aa-00-bb-00-cc
Sie können die Called Station ID auch in den Erweiterten SSID Einstellungen benutzerdefiniert anpassen. Sie können benutzerdefinierten Text [a-z, A-Z, 0-9, -] in Verbindung mit den vordefinierten Variablen eingeben. Die maximale Länge beträgt 84 Zeichen. Achten Sie bei der Verwendung von Variablen darauf, dass die maximale Länge nicht überschritten wird.
%m — MAC-Adresse der Access Point-Ethernet-Schnittstelle
%s — SSID-Name
%n — Gerätename
NAS ID — Die NAS ID ist standardmäßig der Name der SSID und die MAC-Adresse des Access Points [SSID]-[MAC-Adresse]. Zum Beispiel: MySSID-00-aa-00-bb-00-cc
Sie können die NAS ID auch in den Erweiterten SSID Einstellungen benutzerdefiniert anpassen. Sie können benutzerdefinierten Text [a-z, A-Z, 0-9, -] in Verbindung mit den vordefinierten Variablen eingeben. Die maximale Länge beträgt 84 Zeichen. Achten Sie bei der Verwendung von Variablen darauf, dass die maximale Länge nicht überschritten wird.
%m — MAC-Adresse der Access Point-Ethernet-Schnittstelle
%s — SSID-Name
%n — Gerätename
NAS IP-Adresse — Die IP-Adresse des Access Points. Dies kann eine statische oder DHCP-IP-Adresse sein. Wir empfehlen Ihnen, statische oder reservierte DHCP-IP-Adressen für Access Points zu nutzen, die mit RADIUS-Servern kommunizieren.
NAS-Port — Der NAS-Port ist standardmäßig auf 0 eingestellt und kann nicht geändert werden.

Screen shot of the SSID advanced settings (Called Station ID/NAS ID) for an access point

Access Point-Firmware v2.0 oder niedriger

In Access Point-Firmware v2.0 oder niedriger können Sie die RADIUS-Attribute nicht ändern.

Called Station ID — Die Called Station ID ist die MAC-Adresse des Access Points.
Zum Beispiel: 00-aa-00-bb-00-cc
NAS-ID — Die NAS-ID ist der Name der SSID.
Zum Beispiel: MySSID
NAS IP-Adresse — Die IP-Adresse des Access Points. Dies kann eine statische oder DHCP-IP-Adresse sein. Wir empfehlen Ihnen, statische oder reservierte DHCP-IP-Adressen für Access Points zu nutzen, die mit RADIUS-Servern kommunizieren.
NAS-Port — Der NAS-Port ist standardmäßig auf 0 eingestellt und kann nicht geändert werden.

RADIUS-Authentifizierung für einen Access Point konfigurieren

Damit die RADIUS-Server-Authentifizierung mit einem in WatchGuard Cloud verwalteten Access Point genutzt werden kann, müssen Sie Folgendes durchführen:

Fügen Sie die IP-Adresse des Access Points zum RADIUS-Server hinzu, um das Gerät als RADIUS-Client zu konfigurieren. Wir empfehlen Ihnen, statische oder reservierte DHCP-IP-Adressen für Access Points zu nutzen, die mit RADIUS-Servern kommunizieren.
Hinzufügen des RADIUS-Servers zu einer WatchGuard Cloud-Authentifizierungsdomäne und Angabe der IP-Adresse des Servers und des gemeinsamen Geheimnisses. Weitere Informationen finden Sie unter Hinzufügen einer Authentifizierungsdomäne zu WatchGuard Cloud.
Falls Sie über einen RADIUS-Rechnungslegungsserver verfügen, fügen Sie diesen zur gleichen Authentifizierungsdomäne hinzu. Weitere Informationen finden Sie unter Hinzufügen von Servern zu einer Authentifizierungsdomäne.
Fügen Sie die Authentifizierungsdomäne zur Access Point-Konfiguration hinzu. Weitere Informationen finden Sie unter Access Point-Authentifizierungsdomänen.
Konfigurieren Sie eine SSID mit WPA2 Enterprise- oder WPA3 Enterprise-Sicherheit und wählen Sie eine Authentifizierungsdomäne mit einem konfigurierten RADIUS-Server.

Bei WPA3 Enterprise können Sie auch den 192-Bit-Modus (WPA3 Enterprise Suite B) aktivieren, um die Verschlüsselungssicherheit in sensiblen Firmenumgebungen zu erhöhen. Der WPA3 Enterprise 192-Bit-Modus erfordert Access Point-Firmware v2.1 oder höher. Weitere Informationen finden Sie unter Konfiguration der SSID-Einstellungen von Access Points.

RADIUS-Integration mit Firebox und Drittanbieter-Servern

Informationen zum Konfigurieren von RADIUS SSO (Single Sign-On) mit Access Points und einer Firebox von WatchGuard finden Sie unter About RADIUS Single Sign-On.

Informationen über die Integration der RADIUS-Authentifizierung und Microsoft Active Directory und NPS finden Sie unter Wi-Fi in WatchGuard Cloud-Clients mit Microsoft Active Directory und NPS authentifizieren.

Access Point-Authentifizierungsdomänen

Konfiguration der SSID-Einstellungen von Access Points

Über Access Point Sites

© 2024 WatchGuard Technologies, Inc. Alle Rechte vorbehalten. WatchGuard und das WatchGuard-Logo sind eingetragene Marken oder Marken von WatchGuard Technologies in den Vereinigten Staaten und anderen Ländern. Sonstige Marken sind das Eigentum ihrer jeweiligen Inhaber.