Benutzer-Werkzeuge

Webseiten-Werkzeuge


8021x-upam-oem-controller

Konfiguration von OmniAccess Wireless LAN Controller und UPAM 802.1x

Durch das OmniVista 2500 R422 bekommen wir die Möglichkeit auch Radius-Authentifizierungen durchzuführen. Im folgenden wird erklärt, worauf bei der Konfiguration zu achten ist.

Konfiguration Controller

Als erstes legen wir im Controller unter 'Configuration → Security → Authentication → Servers → RADIUS Server' einen neuen Radius-Server an. Dies ist die primäre IP-Adresse des OmniVista 2500. Es sollte sichergestellt sein, dass der Key auch im UPAM konfiguriert ist (dazu später mehr). Ansonsten können die default-Einstellungen verwendet werden, wobei die anfragende NAS IP konfiguriert und statisch festgelegt sein sollte.

Diesen Server bauen wir jetzt in die 'Server Group' ein. Dazu erstellen wir eine neue Server-Gruppe und binden den vorherigen Radius-Server in diese Server-Gruppe ein.

Als letztes erstellen wir ein neuen 802.1X Authentication Profile im Reiter 'L2-Authentication'. Hier kann allerdings auch das Default-Profil verwendet werden.

Diese Server binden wir in ein AAA-Profil ein. Wichtig ist vor allem die 802.1X Authentication Default Role. Hier wird, wenn die Access Role Profiles nicht über UPAM/OmniVista konfiguriert sind, das Profil ausgewählt, was dem authentifizierten Nutzer zugeordnet wird.

Unter 802.1X Authentication wählen wir das default oder neu-angelegte 802.1X Authentication Profile aus. Die 802.1X Server Groupd und die RADIUS Accounting Server Group muss nun auf die angelegte Gruppe verweisen, in der UPAM enthalten ist.

Abschließend muss noch in der Access Point Gruppe ein 'Virtual AP' Profil erstellt werden. Hier nutzen wir das angelegte AAA Profil und ein neues SSID-Profil mit der 802.11 Security WPA2.

Konfiguration UPAM

Auch im OmniVista müssen noch ein paar Dinge konfiguriert werden, damit eine erfolgreiche Authentifizierung möglich ist. Das Wichtigste ist, den NAS Client zu konfigurieren. Hier muss das gleiche Shared Secret ausgewählt werden, wie im Controller.

Wird der Controller im OmniVista als Gerät angezeigt, so ist dieser unter 'All Managed Devices' angelegt und hier muss auch das Shared Secret angepasst werden.

Unter 'UPAM → Authentication → NAS-Clients' wird jetzt das Shared Secret angepasst oder das Controller als neues NAS-Client hinzugefügt. Dies ist auch für ganze Subnetze möglich.

Des Weiteren benötigt UPAM noch eine Access Policy, die für die 802.1X Authentifizierung greift und die Anfrage gegen die Lokale Datenbank abgleicht. In unserem Beispiel nutzen wir die NAS-IP und fügen dieser die 8021x-OEM Authentication Strategy hinzu.

Die Authentication Strategy regelt, wo die Nutzerdaten abgeglichen werden sollen und welches das Default-Profile ist, was zurückgegeben wird. Diese Filter-ID kann, wenn die Access Role Profiles über OmniVista auf den Controller ausgerollt sind, genutzt werden, um eine Rollenzuordnung zu machen. Andernfalls wird das Default-Profile zurückgegeben bzw. das 802.1X Authenticated Profile aus dem AAA-Profil im Controller verwendet.

Unter 'UPAM → Authentication → Employee Account' können die Accounts verwaltet werden und neue hinzugefügt werden.

8021x-upam-oem-controller.txt · Zuletzt geändert: 2017/08/29 13:43 von michael-neesen