High Availability lässt sich heute mit günstiger Hardware und einer großen Auswahl an kommerzieller sowie freier Software realisieren. ADMIN erklärt die ... (mehr)

Authentifizierung an Bord

Ein Großteil der administrierbaren Switches ab einer bestimmten Größe beherrscht IEEE 802.1X, darunter etwa der Netgear FSM726 Managed Switch für 200 Euro mit zwei Gigabit-Ports [4], der 3Com 2924-SFP Plus für 270 Euro [5] oder der Level One GSW-2494 für rund 340 Euro [6]. Alle Geräte haben 24 Ports und unterscheiden sich in einzelnen Ausstattungsmerkmalen.

Fast alle kommen mit einem Webinterface (Abbildung  2), einige lassen sich über ein Command Line Interface wie Ciscos IOS konfigurieren. Artikel  5.1 des 802.1X-Standards legt fest, welchen Anforderungen die Switches genügen müssen. Einige, wie die IOS-basierten, stellen zusätzliche Features zur Verfügung, etwa ein Gast-VLAN, in das der NAS den Supplikanten steckt, wenn er sich nicht ausweisen konnte – praktisch für Besucher oder in Konferenzräumen.

Abbildung 2: Viele Switches bringen ein Webfrontend zum Konfigurieren mit. Der Netgear FSM726 Managed Switch hat 24 Ports, die sich einzeln für den IEEE-802.1X-Betrieb Auto konfigurieren lassen.

Um Network Access Control zu aktivieren, verbindet sich der Systemverwalter mit dem Switch. Er stellt die betroffenen PAEs von »Authorized« auf den Modus »Auto« und teilt dem Netzgerät das Passwort und die IP-Adresse für den Remote-Access-Server mit. Den schließt er optimalerweise in einem separaten VLAN mit getrenntem Admin-Subnetz an. Um ein Henne-Ei-Problem zu vermeiden, stellt er den zugehörigen Port auf »Authorized« .

Switches konfigurieren

Im Cisco IOS aktiviert der Befehl »dot1x system-auth-control« 802.1X im ganzen Switch (Listing 1). Mittels »radius-server host Radius-IP« trägt der Admin den Radius-Server, mit »key« als Radius »secret« ein. Wozu ein »aaa authentication« die Gruppe »radius« zuweist. Die Befehle »dot1x pae authenticator« und »dot1x port-control auto« verwandeln dann das gewählte Interface in ein 802.1X-Interface. Das Gast-VLAN, das bei fehlgeschlagenen Autorisierungsversuchen den Client in ein unkritisches Netz schaltet, konfiguriert der Admin mit »dot1x guest-vlan vlan-id« . Bei weiteren Fragen helfen der IOS-Configuration-Guide [7] oder das Free-Radius-Wiki [8].

Listing 1

Cisco IOS konfigurieren

 

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020