Viele Organisationen und Bildungseinrichtungen erlauben den Anwendern, ihre eigenen Laptops, Tablets und Smartphones zu nutzen. Bring Your Own Device (BYOD) liegt im Trend, denn es reduziert den finanziellen Aufwand der Unternehmen, bietet den Nutzern eine größere Wahlfreiheit und ihre vertraute Arbeitsumgebung. Bevor sich Anwender mit ihren eigenen Geräten ins Schul- oder Firmen-WLAN einklinken, sollten sich Administratoren ein paar Gedanken zur Sicherheit machen, damit die Geräte nicht zum Einfallstor für Schadsoftware werden.
Dreimal A: Authentifizierung – Autorisierung – Accounting
RADIUS (Remote Authentication Dial-In User Service) ist ein Tool zur Authentifizierung von Gerätezugriffen auf Netzwerke und kümmert sich um die drei A (Triple A):
- Authentifizierung
- Autorisierung
- Accounting
RADIUS stellt zunächst fest, ob ein Benutzer derjenige ist, für den er sich ausgibt (Authentifizierung), beispielsweise über eine Prüfung von Benutzernamen und Passwörtern. Nach einer erfolgreichen Anmeldung erhält ein Benutzer bestimmte Rechte (Autorisierung), z. B. Zugriff auf Daten oder Dienste. RADIUS kann sich zudem um die Abrechnung kümmern (Accounting) und das übertragene Datenvolumen oder Zugriffshäufigkeiten protokollieren.
Funktionsweise der RADIUS Authentifizierung
RADIUS ist als Client-Server-Architektur umgesetzt. Der RADIUS-Server ist der zentrale Authentifizierungsserver, an den sich andere Dienste für die Authentifizierung wenden können. Er übernimmt die Überprüfung von Benutzernamen und Kennwörtern und stellt Parameter für die Verbindung zum Client bereit. Der RADIUS-Server entnimmt diese aus eigenen Konfigurationsdateien, aus Datenbanken oder Verzeichnisdiensten, in denen die Zugangsdaten hinterlegt sind.
RADIUS kann somit sicherstellen, dass ausschließlich berechtigte Benutzer auf ein Netzwerk zugreifen können. Es ist möglich, den Zugang auf bestimmte Endgeräte zu beschränken. Beim Übermitteln der Authentifizierungs-Daten (Benutzernamen und Passwörter) kommt häufig das Extensible Authentication Protocol zum Einsatz.
FreeRADIUS im Univention App Center
Es gibt verschiedene freie und proprietäre RADIUS-Lösungen. Im Univention App Center stellen wir den Open-Source-Vertreter FreeRADIUS für den Einsatz in Univention Corporate Server (UCS) bereit. Der RADIUS-Dienst ist so konfiguriert, dass er sich mit dem LDAP-Verzeichnisdienst verbindet, der die Zugangsdaten bereithält.
Unsere FreeRADIUS-App haben wir außerdem mit Sperr- und Freigabelisten ausgestattet, über die Sie gezielt Benutzer-, Gruppen- und Endgeräteobjekte für diesen Dienst freischalten können – alles ganz bequem per Mausklick über das UCS-Managementsystem.
Wenn RADIUS sich um die WLAN-Authentifizierung kümmern soll, muss der entsprechende Access Point 802.1x („WPA Enterprise“) zur Authentifizierung verwenden. Der RADIUS-Server muss außerdem für den WLAN-Access-Point zur Authentifizierung eingetragen sein. Danach können sich Benutzer mit den beim RADIUS-Server hinterlegten Zugangsdaten im WLAN anmelden.