RADIUS-Authentifizierung (802.1X)
RADIUS (Remote Authentication Dial-In User Service) ist der Authentifizierungsserver hinter WPA2/WPA3-Enterprise. Er entscheidet, ob ein Benutzer ins Netz darf oder nicht. Das Protokoll 802.1X definiert den Rahmen: Client (Supplicant), Access Point (Authenticator) und RADIUS-Server (Authentication Server) spielen ein klares, dreistufiges Spiel – und keiner trifft eine Entscheidung, die nicht in seinen Zuständigkeitsbereich fällt.
Der Access Point ist dabei nur Vermittler – er öffnet oder schließt den Netzwerkzugang, aber er entscheidet nicht selbst ob der Benutzer berechtigt ist. Das macht er auf Anweisung des RADIUS-Servers. Dieser kommuniziert mit dem Active Directory, LDAP oder einer lokalen Benutzerdatenbank.
1) 802.1X-Ablauf animiert – Client bis RADIUS
Supplicant
Authenticator
Auth-Server
2) EAP-Methoden
3) RADIUS-Konfiguration (Cisco WLC)
Zusammenfassung
RADIUS: RFC 2865, UDP 1812 (Auth) / 1813 (Accounting). 802.1X: Supplicant (Client), Authenticator (AP), Authentication Server (RADIUS). AP öffnet Port erst nach RADIUS-Accept. EAP-TLS = sicherste Methode (beidseitige Zertifikate). PEAP = häufigste Methode (Passwort im TLS-Tunnel). Windows NPS = Microsoft-RADIUS. FreeRADIUS = Open-Source-Alternative.
Verwandte Lektionen: Nächste Lektion: IHK-Aufgaben WLAN · WPA2-Enterprise Übersicht: WPA2-Enterprise vs. Personal · WPA-Sicherheitsstandards: WEP, WPA, WPA2, WPA3 · TLS und Zertifikate für EAP-TLS: TLS/SSL: HTTPS Handshake · Active Directory als RADIUS-Backend: Kerberos und NTLM · PKI für EAP-TLS-Zertifikate: Public Key Infrastructure (PKI) · Windows Server NPS: Windows Server Rollen und Features · Zugriffsrechte und Port-based NAC: Access Control Lists (ACL)