IT Netzwerk Sicherheit Illustration

Eine immer mobiler werdende Welt und die hervorragende Ausstattung des Einzelnen mit privaten mobilen Geräten legen nahe, dass das Arbeiten oder Lernen nicht mehr nur an organisationseigenen Geräten stattfindet, sondern mobile Konzepte ermöglicht werden. Dafür müssen (private) Endgeräte einen unkomplizierten Zugang zu den Unternehmensnetzwerken haben ohne dabei zum Einfallstor für Schadsoftware oder Ausspähung zu werden. Mit RADIUS, einem Tool zur Authentifizierung von Gerätezugriffen auf Netzwerke, steht ein wichtiges Instrument für den Aufbau sicherer dezentraler Arbeitsstrukturen bereit.

Wofür seht RADIUS überhaupt?

Remote Authentication Dial-In User Service (kurz RADIUS) ist ein Client-Server-Protokoll, das zur Authentifizierung, Autorisierung und Accounting (Triple-A-System) von Benutzern bei Verbindungen in ein Netzwerk dient. RADIUS wurde erstmals in den RFC 2058 und RFC 2059 (RFC steht für Requests for Comments, einer Sammlung von Beschreibungen und Definitionen für diverse Protokolle und Dienste im Internet) beschrieben. Mittlerweile existieren verschiedene proprietäre und freie Radius-Implementierungen. Für den Einsatz mit UCS haben wir uns für den Open-Source-RADIUS-Server „freeRADIUS“ entschieden.

Wie funktioniert ein RADIUS-Server?

Der RADIUS-Server ist der zentrale Authentifizierungsserver, an den sich verschiedene IT-Services für die Authentifizierung wenden können. Ein RADIUS-Server kann so für diese Services die Authentifizierung, also die Überprüfung von Benutzername und Kennwort des jeweiligen Nutzer des Dienstes, übernehmen. Außerdem werden Parameter für die Verbindung zum Client bereitgestellt, die der RADIUS-Server aus eigenen Konfigurationsdateien, Konfigurationsdatenbanken oder Verzeichnisdiensten entnimmt, in denen die Zugangsdaten wie beispielsweise Benutzername und Kennwort gespeichert sind. Im Fall von UCS fungiert hier das LDAP als Verzeichnisdienst, der die Zugangsdaten bereithält.

Welche Einsatzgebiete gibt es für RADIUS?

Das Protokoll RADIUS wird vor allem in großen Netzen verwendet, um gewährleisten zu können, dass ausschließlich berechtigte Nutzer auf das interne Netzwerk zugreifen können. Dabei kann der Zugriff zusätzlich auch auf bestimmte Endgeräte eingeschränkt werden. Für die Übertragung der Authentifizierungs-Daten (Benutzername und Passwort) wird häufig das Protokoll EAP (Extensible Authentication Protocol) genutzt.

Für die klassische Verwendung von RADIUS-WLAN-Authentifizierung muss der entsprechende WLAN-Access-Point so konfiguriert werden, dass dieser 802.1x („WPA Enterprise“) zur Authentifizierung verwendet. Ebenfalls muss der WLAN-Access-Point den entsprechenden RADIUS Server zur Authentifizierung eingetragen haben. Danach ist eine Anmeldung im entsprechenden WLAN mit den im RADIUS-Server hinterlegten Benutzerzugangsdaten möglich.

…und wo kommt RADIUS in UCS zum Einsatz?

logo_app_center_radiusIm Univention App Center ist RADIUS als eigene App verfügbar, die den Open-Source-RADIUS-Server „freeRADIUS“ für UCS bereitstellt. Die Konfiguration des Servers ist in der App bereits integriert und erfolgt über Sperr- und Freigabelisten. Es ist somit möglich, Benutzer-, Gruppen- und Endgeräteobjekte für diesen Dienst freizuschalten. Dies wird über die entsprechenden Kontrollkästen an den Objekten im UCS-Managementsystem gesteuert.

Zugelassene Benutzer authentifizieren sich mit ihren üblichen Domänenzugangsdaten. Daher bietet sich die Integration von RADIUS auch besonders für „Bring your own Device“ (BYOD) Konzepte an. In diesen Konzepten wird der Zugang zum IT-Netzwerk für die mobilen Endgeräte von Nutzern ermöglicht. Gleichzeitig soll aber aber sicher gestellt werden, dass ausschließlich berechtigte Nutzer mit zugelassen Geräten Zugriff erhalten. Mehr zu dieser Thematik können Sie auch in unserem Blogartikel „Kurz erklärt: Bring Your Own Device (BYOD)“ nachlesen. BYOD Konzepte spielen mit der wachsenden Mobilität von Mitarbeitern und dem Zuwachs an dezentralen Arbeitsplätzen eine immer bedeutendere Rolle. Neben Unternehmen sind es besonders auch Bildungseinrichtungen, die massiv von der Einbindung der Nutzergeräte von Schülern und Lehrkräften profitieren können, gleichzeitig aber auch besonders hohe Angriffspotenziale bieten.

Weitere Informationen über die Konfiguration der RADIUS App unter UCS sind in unserem Wiki hinterlegt.

Weitere Informationen und Quellen

https://wiki.univention.de/index.php?title=RADIUS

https://freeradius.org/doc/

https://en.wikipedia.org/wiki/RADIUS

Open Source Software Consultant

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.