Freeradius für den WLAN-Hotspot

Copyright, 123RF

Großer Radius

Firmen können es sich kaum noch erlauben, auf ein drahtloses Netzwerk zu verzichten. Die benutzerspezifische Zugangskontrolle funktioniert über WPA-Enterprise – das verbreitete Open-Source-Tool Freeradius bildet das passende Backend.
Drahtlose Netzwerke sind überall: Zu Hause, im Café und in der Firma. Im Gegensatz zu Kabelnetzen verliert der Admin bei WLANs allerdings schnell die ... (mehr)

"Wie heißt das WLAN-Passwort?" – "Steht auf dem Zettel unter meiner Tastatur!" Das ist der Albtraum für jeden Admin, denn den Zugang ins Firmennetz über so ein gemeinsames Passwort zu kontrollieren, wird schon bei einer überschaubaren Anzahl von Mitarbeitern unmöglich.

Radius

Die Lösung trägt den Namen IEEE 802.1X, der für einen Standardmechanismus für die Netzwerkauthentifizierung steht. Für Firmen ausgerichtete WLAN-Hotspots bieten dieses Anmeldeverfahren üblicherweise mit der Bezeichnung WPA-Enterprise als Alternative zu WPA-Personal an (siehe Abbildung 1).

Abbildung 1: Einige Hotspots erlauben mittels WPA-Enterprise eine benutzerspezifische Konfiguration.

Die User-Datenbank verwaltet der Hotspot in den meisten Fällen nicht selbst. Stattdessen befragt er einen Radius-Server im selben Netzwerk (Abbildung 2): An dieser Stelle findet die zentrale Nutzerverwaltung statt. Kommt ein Mitarbeiter hinzu, trägt er ihn in den Radius-Server ein und der WLAN-Zugriff ist inklusive.

Abbildung 2: Ein Radius-Server liefert dem WLAN-Hotspot die Benutzerdaten.

Die Auflösung des Akronyms Radius – Remote Authentication Dial-In User Service – zeigt, dass sich das System für größere Aufgaben als die Verwaltung von WLAN-Usern eignet. Es kommt auch bei Internet-Anbietern zum Einsatz, die mit Radius-Servern ihre häufig sehr zahlreichen Benutzer verwalten.

Radius setzt das sogenannte AAA-Konzept um: Authentifizierung, Autorisierung, Accounting. Für den Anwendungsfall der Zugangskontrolle zu einem WLAN spielen die ersten beiden Komponenten die Hauptrolle. Bei der Authentifizierung überprüft der Radius-Server Usernamen und Passwort, im Rahmen der Autorisierung legt er optionale Zugangsparameter fest, etwa die erlaubte Nutzungsdauer oder -zeit. Beim Accounting geht es in erster Linie um die typischen Anforderungen von Internet-Providern, vor allem die detaillierte Protokollierung der übertragenen Daten für statistische Auswertungen und Abrechnungen.

Freeradius

Freeradius [1] ist der am weitesten verbreitete Radius-Server. Die freie Software bietet mit einer Vielzahl von Modulen und Konfigurationsmöglichkeiten eine enorme Flexibilität. Für Linux, Mac OS X und BSD-Varianten sowie Windows [2] stehen fertige Pakete zur Verfügung.

Die Freeradius-Entwickler verfolgen die Strategie, das Programm mit einer allgemein sinnvollen Konfiguration auszuliefern. Anpassungen an die eigene Umgebung bleiben unvermeidbar, aber die in vielen realen Szenarien direkt verwendbaren Voreinstellungen helfen bei der Orientierung in den zahlreichen Einstellmöglichkeiten.

Der Start erfolgt unter Linux typischerweise als Service mit »service freeradius start« oder mit dem Befehl »radiusd« oder auch »freeradius« – je nach Distribution. Dann hört der Freeradius-Server gemäß der mitgelieferten Standardkonfiguration auf alle Anfragen und die Radius-Standard-Ports 1812 für die Authentifizierung sowie 1813 fürs Accounting, beide normalerweise definiert in »/etc/services« . Für Fehlersuche und zum Testen empfiehlt sich zudem der Start von Freeradius mit »freeradius -X« , das alle Debugging-Meldungen ausgibt.

Weitere Netzwerkparameter sowie lokale Einstellungen zu Logging, Threading, Sicherheit und den verwendeten Modulen befinden sich in der Datei »radiusd.conf« im Freeradius-Konfigurationsverzeichnis, unter Linux meist »/etc/freeradius/« .

»radiusd.conf« sammelt die meisten Optionen innerhalb von »listen« -Blöcken. Jeder »listen« -Block steht für eine virtuelle Server-Instanz, die Voreinstellung enthält zwei davon: einen für den Authentifizierungs- und einen für den Accounting-Server. Sie verwenden die genannten Standardports und nehmen Verbindungen von allen Adressen entgegen (»ipaddr=*« ). Bei den virtuellen Servern handelt es sich im Freeradius-Konzept um voneinander unabhängige Instanzen. Sie lassen sich einzeln beispielsweise spezifisch für jeden Radius-Client konfigurieren.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019