Eine immer mobiler werdende Welt und die hervorragende Ausstattung des Einzelnen mit privaten mobilen Geräten legen nahe, dass das Arbeiten oder Lernen nicht mehr nur an organisationseigenen Geräten stattfindet, sondern mobile Konzepte ermöglicht werden. Dafür müssen (private) Endgeräte einen unkomplizierten Zugang zu den Unternehmensnetzwerken haben ohne dabei zum Einfallstor für Schadsoftware oder Ausspähung zu werden. Mit RADIUS, einem Tool zur Authentifizierung von Gerätezugriffen auf Netzwerke, steht ein wichtiges Instrument für den Aufbau sicherer dezentraler Arbeitsstrukturen bereit. RADIUS steht als App für die Integration in Univention Corporate Server (UCS) im App Center von UCS zur Verfügung. Ich erklären in diesem Artikel, wofür die Abkürzung RADIUS steht, wie die Einbindung in UCS funktioniert und welche Einsatzgebiete sich anbieten.

Wofür steht RADIUS überhaupt?

Remote Authentication Dial-In User Service (kurz RADIUS) ist ein Client-Server-Protokoll, das zur Authentifizierung, Autorisierung und Accounting (Triple-A-System) von Benutzern bei Verbindungen in ein Netzwerk dient. RADIUS wurde erstmals in den Requests for Comments, einer Sammlung von Beschreibungen und Definitionen für diverse Protokolle und Dienste im Internet RFC 2058 und RFC 2059 beschrieben. Mittlerweile existieren verschiedene proprietäre und freie Radius-Implementierungen. Für den Einsatz mit UCS haben wir uns für den Open-Source-RADIUS-Server „freeRADIUS“ entschieden.

Wie funktioniert ein RADIUS-Server?

Der RADIUS-Server ist der zentrale Authentifizierungsserver, an den sich verschiedene IT-Services für die Authentifizierung wenden können. Ein RADIUS-Server kann so für diese Services die Authentifizierung, also die Überprüfung von Benutzername und Kennwort des jeweiligen Nutzer des Dienstes, übernehmen. Außerdem werden Parameter für die Verbindung zum Client bereitgestellt, die der RADIUS-Server aus eigenen Konfigurationsdateien, Konfigurationsdatenbanken oder Verzeichnisdiensten entnimmt. In ihnen sind die Zugangsdaten wie beispielsweise Benutzername und Kennwort gespeichert. Im Fall von UCS fungiert hier das in UCS integrierte LDAP als Verzeichnisdienst, der die nötigen Zugangsdaten bereithält.

Übersicht-WLAN-für-Schulträger

WLAN für Schulträger (BYOD/GYOD)

Erfahren Sie in diesem Artikel, welche Anforderungen Schulen an ihr WLAN haben und wie diese mit UCS@school umgesetzt werden können.

Welche Einsatzgebiete gibt es für RADIUS?

Das Protokoll RADIUS wird vor allem in großen Netzen verwendet, um zu gewährleisten, dass ausschließlich berechtigte Nutzer auf das interne Netzwerk zugreifen können. Dabei kann der Zugriff zusätzlich auch auf bestimmte Endgeräte eingeschränkt werden. Für die Übertragung der Authentifizierungs-Daten (Benutzername und Passwort) wird häufig das Protokoll EAP (Extensible Authentication Protocol) genutzt.

Für die klassische Verwendung von RADIUS-WLAN-Authentifizierung muss der entsprechende WLAN-Access-Point so konfiguriert werden, dass dieser 802.1x („WPA Enterprise“) zur Authentifizierung verwendet. Ebenfalls muss der WLAN-Access-Point den entsprechenden RADIUS Server zur Authentifizierung eingetragen haben. Danach ist eine Anmeldung im entsprechenden WLAN mit den im RADIUS-Server hinterlegten Benutzerzugangsdaten möglich.

…und wo kommt RADIUS in UCS zum Einsatz?

logo_app_center_radiusIm Univention App Center ist RADIUS als eigene App verfügbar, die den Open-Source-RADIUS-Server „freeRADIUS“ für UCS bereitstellt. Die Konfiguration des Servers ist in der App bereits integriert und erfolgt über Sperr- und Freigabelisten. Es ist somit möglich, Benutzer-, Gruppen- und Endgeräteobjekte für diesen Dienst freizuschalten. Dies wird über die entsprechenden Kontrollkästen an den Objekten im UCS-Managementsystem gesteuert.

Zugelassene Benutzer authentifizieren sich mit ihren üblichen Domänenzugangsdaten. Daher bietet sich die Integration von RADIUS auch besonders für „Bring your own Device“ (BYOD) Konzepte an. In diesen Konzepten wird der Zugang zum IT-Netzwerk für die mobilen Endgeräte von Nutzern ermöglicht. Gleichzeitig soll aber aber sicher gestellt werden, dass ausschließlich berechtigte Nutzer mit zugelassen Geräten Zugriff erhalten. Mehr zu dieser Thematik können Sie auch in unserem Blogartikel „Kurz erklärt: Bring Your Own Device (BYOD)“ nachlesen. BYOD Konzepte spielen mit der wachsenden Mobilität von Mitarbeitern und dem Zuwachs an dezentralen Arbeitsplätzen eine immer bedeutendere Rolle. Neben Unternehmen sind es besonders auch Bildungseinrichtungen, die massiv von der Einbindung der Nutzergeräte von Schülern und Lehrkräften profitieren können, gleichzeitig aber auch besonders hohe Angriffspotenziale bieten.

Weitere Informationen über die Konfiguration der RADIUS App unter UCS sind im UCS Handbuch hinterlegt.

Weitere Informationen und Download

Download RADIUS

Weitere Artikel zum Thema Radius:

UCS Core Edition jetzt kostenfrei einsetzen!

Zum Downloadbereich

Open Source Software Consultant

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Kommentare

  1. Norbert Friederichs
    Juli 15, 2019 at 10:06 am

    Schön übersichtlich. Leider hat sich in der Demo der AD-kompatible Domänen-Controller beim Anklicken aufgehängt.

    Antworten

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.