WLAN-Modul (RADIUS)

Das IServ WLAN-Modul integriert einen RADIUS Server auf dem IServ. RADIUS ermöglicht eine benutzerspezifische Anmeldung an dem bestehenden WLAN-Netz. Mit dem Modul werden drei Rechte in der Rechteverwaltung angelegt, zusätzlich müssen die Access Points für den Einsatz eines RADIUS-Servers konfiguriert werden. Bei der Anmeldung eines neuen Clients muss dort noch das SSL Zertifikat akzeptiert werden.

Einrichten des WLAN-Moduls

Die Access Points müssen für den Betrieb von WPA-Enterprise konfiguriert werden. Die SSID sollte auf allen Access Points identisch sein.

  • Sicherheitsmodus: WPA-Enterprise / WPA2-Enterprise
  • Verschlüsselung: TKIP / AES
  • RADIUS-Server: IP des IServs
  • RADIUS-Port: 1812
  • Sicherheitsschlüssel: Auch Secret genannt, wird in der iservcfg (Verwaltung -> System -> Konfiguration -> Modul Radiusserver -> Radiuskennwort) konfiguriert

Wir empfehlen WPA2 mit AES-Verschlüsselung zu verwenden. Diese Einstellungen sollten von allen zeitgemäßen Clients unterstützt werden. Um auch ältere Clients zu unterstützen kann auch WPA mit TKIP verwendet werden. Ein Parallelbetrieb ist je nach Access Point ggf. ebenfalls möglich.

Hinweis

Der RADIUS-Server verwendet standardmäßig ein selbstsigniertes SSL-Zertifikat, dies ist die empfohlene Option und funktioniert mit aktuellen Geräten und Betriebssystemen in der Regel problemlos. Leider unterstützen ältere Geräte und Betriebssysteme wie Windows 7 selbstsignierte SSL-Zertifikate bei RADIUS nicht vollständig und verweigern die Verbindung zu WLAN-Netzwerken, deren Server sich mit derartigen Zertifikaten ausweisen. Daher kann nun bei Bedarf mit der Konfigurationsoption “RADIUS-Zertifikatstyp” unter Verwaltung » System » Konfiguration » RADIUS-Zertifikatstyp das Verhalten geändert werden. Wir empfehlen, diese Option ausschließlich zu ändern, wenn Sie ältere Clients mit Ihrem RADIUS-WLAN-Netzwerk einsetzen und bekannte Probleme bestehen.

Clients

Die Konfiguration von Clients ab Windows 7, Mac OS X, Ubuntu, Android und iOS sollte intuitiv funktionieren. Nach dem Verbinden mit dem WLAN müssen ggf. das SSL-Zertifikat einmalig akzeptiert und Benutzername sowie Kennwort des Benutzers zum IServ eingegeben werden.

Konfiguration des Moduls

Hinweis

Sollen die Rechte nach einer Änderung direkt gelten, muss manuell ein iservchk ausgeführt werden. Wird dies nicht gemacht, werden die Änderungen erst beim nächtlichen iservchk übernommen.

In iservcfg gibt es nach der Installation des Moduls vier neue Einträge:

Modul Radiusserver:

Radiuskennwort: Hier wird das aktuelle Secret angezeigt. Dieses wird für die Konfiguration der Access Points benötigt.

Modul WLAN:

Anzahl der Stunden nach der WLAN-Rechner gelöscht werden: Sofern hier 0 Stunden steht werden die Geräte nicht automatisch aus der Rechnerverwaltung gelöscht.

Gerät in der Rechnerverwaltung für neue WLAN-Geräte anlegen: Standardmäßig ist hier Ja eingestellt.

IP-Bereich für WLAN-Geräte: IServ erstellt neue Geräte in der Rechnerverwaltung für alle Geräte die sich erstmalig über Radius anmelden und weist diesen eine freie IP-Adresse aus diesem Bereich zu. Bitte benutzen Sie die CIDR Notation und vergewissern Sie sich, dass der angegebene Bereich innerhalb eines erreichbaren LAN-Bereichs liegt.

In der Rechteverwaltung werden mit der Installation des Moduls folgende Rechte angelegt:

Anmelden an mit Radius gesichertem WLAN: Sofern Sie die Anmeldung auf bestimmte Gruppen beschränken möchten, tragen Sie die entsprechenden Gruppen hier ein.

Internetzugang für neue WLAN-Geräte standardmäßig gewähren: Nur Mitglieder aus hier eingetragenen Gruppen dürfen nach der Anmeldung am WLAN auch in das Internet. Alle anderen Gruppen können nur das interne Netzwerk nutzen und auf den IServ zugreifen.

Proxyserver für neue WLAN-Geräte standardmäßig erzwingen: Sollen bestimmte Gruppen nur über den Proxy des IServ auf das Internet zugreifen können, tragen Sie die entsprechenden Gruppen hier ein.

Tipps zur manuellen Konfiguration unter Linux

Wenn Sie ein Linux ohne grafische Oberfläche einsetzen, müssen Sie die Konfiguration in der Datei wpa_supplicant.conf vornehmen. Nachfolgend finden Sie eine Beispielkonfiguration.

network={
    ssid="Ihre_WLAN_SSID"
    scan_ssid=1
    key_mgmt=WPA-EAP
    pairwise=TKIP
    eap=PEAP
    identity="IServ Benutzer/Account"
    password="Zugehöriges Passwort"
}

Warnung

Bedenken Sie, dass diese Konfiguration und damit auch Benutzername und Passwort im Klartext abgespeichert werden. Dies kann ein potentielles Sicherheitsrisiko darstellen.