Eine immer mobiler werdende Welt und die hervorragende Ausstattung des Einzelnen mit privaten mobilen Geräten legen nahe, dass das Arbeiten oder Lernen nicht mehr nur an organisationseigenen Geräten stattfindet, sondern mobile Konzepte ermöglicht werden. Dafür müssen (private) Endgeräte einen unkomplizierten Zugang zu den Unternehmensnetzwerken haben ohne dabei zum Einfallstor für Schadsoftware oder Ausspähung zu werden. Mit RADIUS, einem Tool zur Authentifizierung von Gerätezugriffen auf Netzwerke, steht ein wichtiges Instrument für den Aufbau sicherer dezentraler Arbeitsstrukturen bereit. RADIUS steht als App für die Integration in Univention Corporate Server (UCS) im App Center von UCS zur Verfügung. Ich erklären in diesem Artikel, wofür die Abkürzung RADIUS steht, wie die Einbindung in UCS funktioniert und welche Einsatzgebiete sich anbieten.
Remote Authentication Dial-In User Service (kurz RADIUS) ist ein Client-Server-Protokoll, das zur Authentifizierung, Autorisierung und Accounting (Triple-A-System) von Benutzern bei Verbindungen in ein Netzwerk dient. RADIUS wurde erstmals in den Requests for Comments, einer Sammlung von Beschreibungen und Definitionen für diverse Protokolle und Dienste im Internet RFC 2058 und RFC 2059 beschrieben. Mittlerweile existieren verschiedene proprietäre und freie Radius-Implementierungen. Für den Einsatz mit UCS haben wir uns für den Open-Source-RADIUS-Server „freeRADIUS“ entschieden.
Der RADIUS-Server ist der zentrale Authentifizierungsserver, an den sich verschiedene IT-Services für die Authentifizierung wenden können. Ein RADIUS-Server kann so für diese Services die Authentifizierung, also die Überprüfung von Benutzername und Kennwort des jeweiligen Nutzer des Dienstes, übernehmen. Außerdem werden Parameter für die Verbindung zum Client bereitgestellt, die der RADIUS-Server aus eigenen Konfigurationsdateien, Konfigurationsdatenbanken oder Verzeichnisdiensten entnimmt. In ihnen sind die Zugangsdaten wie beispielsweise Benutzername und Kennwort gespeichert. Im Fall von UCS fungiert hier das in UCS integrierte LDAP als Verzeichnisdienst, der die nötigen Zugangsdaten bereithält.
Das Protokoll RADIUS wird vor allem in großen Netzen verwendet, um zu gewährleisten, dass ausschließlich berechtigte Nutzer auf das interne Netzwerk zugreifen können. Dabei kann der Zugriff zusätzlich auch auf bestimmte Endgeräte eingeschränkt werden. Für die Übertragung der Authentifizierungs-Daten (Benutzername und Passwort) wird häufig das Protokoll EAP (Extensible Authentication Protocol) genutzt.
Für die klassische Verwendung von RADIUS-WLAN-Authentifizierung muss der entsprechende WLAN-Access-Point so konfiguriert werden, dass dieser 802.1x („WPA Enterprise“) zur Authentifizierung verwendet. Ebenfalls muss der WLAN-Access-Point den entsprechenden RADIUS Server zur Authentifizierung eingetragen haben. Danach ist eine Anmeldung im entsprechenden WLAN mit den im RADIUS-Server hinterlegten Benutzerzugangsdaten möglich.
Im Univention App Center ist RADIUS als eigene App verfügbar, die den Open-Source-RADIUS-Server „freeRADIUS“ für UCS bereitstellt. Die Konfiguration des Servers ist in der App bereits integriert und erfolgt über Sperr- und Freigabelisten. Es ist somit möglich, Benutzer-, Gruppen- und Endgeräteobjekte für diesen Dienst freizuschalten. Dies wird über die entsprechenden Kontrollkästen an den Objekten im UCS-Managementsystem gesteuert.
Zugelassene Benutzer authentifizieren sich mit ihren üblichen Domänenzugangsdaten. Daher bietet sich die Integration von RADIUS auch besonders für „Bring your own Device“ (BYOD) Konzepte an. In diesen Konzepten wird der Zugang zum IT-Netzwerk für die mobilen Endgeräte von Nutzern ermöglicht. Gleichzeitig soll aber aber sicher gestellt werden, dass ausschließlich berechtigte Nutzer mit zugelassen Geräten Zugriff erhalten. Mehr zu dieser Thematik können Sie auch in unserem Blogartikel „Kurz erklärt: Bring Your Own Device (BYOD)“ nachlesen. BYOD Konzepte spielen mit der wachsenden Mobilität von Mitarbeitern und dem Zuwachs an dezentralen Arbeitsplätzen eine immer bedeutendere Rolle. Neben Unternehmen sind es besonders auch Bildungseinrichtungen, die massiv von der Einbindung der Nutzergeräte von Schülern und Lehrkräften profitieren können, gleichzeitig aber auch besonders hohe Angriffspotenziale bieten.
Weitere Informationen über die Konfiguration der RADIUS App unter UCS sind im UCS Handbuch hinterlegt.
Schön übersichtlich. Leider hat sich in der Demo der AD-kompatible Domänen-Controller beim Anklicken aufgehängt.
Kurz zur Info: Es gibt auch einen aktuelleren Beitrag zu RADIUS und wie man es für 4.4 konfiguriert. Vielleicht lassen sich damit auch die technischen Probleme beseitigen. Sonst einfach noch mal bei uns melden 🙂
https://www.univention.de/blog-de/2019/03/ucs-4-4-radius-konfigurieren/