MAC-basierte Authentifizierung
Konfigurationsanleitung

Überview

Die MAC-basierte Authentifizierung ist eine Authentifizierungsmethode, die das Recht der Benutzer zum Zugriff auf Netzwerke basierend auf ihren MAC-Adressen steuert. Wenn die MAC-basierte Authentifizierung aktiviert ist, verwendet der Controller die MAC-Adressen der Wireless-Clients als Benutzernamen und Passwörter für die Authentifizierung, wenn der Client
fordert zum ersten Mal einen Internetzugang an. Clients können auf die mit MAC-basierter Authentifizierung konfigurierten drahtlosen Netzwerke zugreifen, nachdem die Authentifizierung erfolgreich bestanden wurde.

Die MAC-basierte Authentifizierungsmethode wird basierend auf der SSID wirksam. Die MAC-Adresse wird bei der Authentifizierung als Benutzername und Passwort verwendet. Wenn die MAC-Adresse des Geräts in der RADIUS-Server-Datenbank gespeichert ist und die entsprechenden Konfigurationen auf dem Controller abgeschlossen sind, kann das Gerät ohne Eingabe von Benutzername und Passwort auf das Internet zugreifen. In der Zwischenzeit werden Geräte abgelehnt, deren MAC-Adressen nicht in der Datenbank enthalten sind. Während des Vorgangs muss der Benutzer weder den Benutzernamen noch das Kennwort manuell eingeben und die drahtlosen Geräte müssen keinen Client installieren
Software.

ExampDatei für Mac-basierte Authentifizierung

Netzwerkanforderungen
Der Netzwerkadministrator möchte einer Reihe von drahtlosen Geräten das Recht geben, auf das Internet zuzugreifen.
Diese Geräte sollten authentifiziert werden, bevor Sie auf das Internet zugreifen. Der Einfachheit halber muss der Authentifizierungsprozess automatisch ausgeführt werden und es wird keine zusätzliche Client-Software auf dem Gerät benötigt. Um die Anforderung zu erfüllen, wird eine MAC-basierte Authentifizierung empfohlen.

Konfiguration
Die MAC-basierte Authentifizierung authentifiziert die Geräte mit ihrer MAC-Adresse. Prüfen Sie vorab die MAC-Adressen der Geräte. FreeRADIUS wird zur Demonstration bei der Konfiguration der MAC-basierten Authentifizierung mit Omada SDN Controller verwendet. Der Prozess umfasst die folgenden drei Schritte.

1. Erstellen Sie einen RADIUS-Server.
2. Erstellen Sie ein drahtloses Netzwerk (SSID) und einen RADIUS profile auf dem Controller.
3.  Konfigurieren Sie die MAC-basierte Authentifizierung auf dem Controller.

Nehmen Sie Omada Software Controller als Example ist die Netzwerktopologie wie folgt dargestellt.

1. Laden Sie FreeRADIUS.net herunter und folgen Sie dem Assistenten, um es zu installieren.
2. Klicken Sie mit der rechten Maustaste auf das Symbol um die folgende Seite zu laden. Wählen Sie FreeRADIUS.net Service starten, um den RADIUS-Server zu starten.
   
3. Klicken Sie mit der rechten Maustaste auf das Symbol und wählen Sie Radius-Clients bearbeiten. conf, um einen Eintrag für den RADIUS-Client hinzuzufügen.
   Ein Client-Abschnitt bedeutet einen RADIUS-Client. Sie können einen der Kundenbereiche auswählen und die folgenden Attribute bearbeiten oder einen neuen Kundenbereich hinzufügen.
   Um Formatfehler zu vermeiden, wird empfohlen, die Konfiguration mit einem Code-Editor zu bearbeiten file.
   Notepad++ wird in diesem Handbuch zur Demonstration verwendet. Bearbeiten oder fügen Sie die Attribute hinzu und speichern Sie die file.
   

   Die erste Zeile	Definieren Sie den RADIUS-Client, der normalerweise ein NAS (Network Access Server) ist, im Format „client [hostname | IP Adresse]". Hier sollten Sie die IP-Adressen der EAPs eintragen. Beachten Sie, dass FreeRADIUS die Eingabe von IP-Adressen im Format „IP/Maske“ unterstützt, andere RADIUS-Server dies jedoch möglicherweise nicht unterstützen. Überprüfen Sie zuerst das unterstützte Format, wenn Sie andere RADIUS-Server verwenden.
   Geheimnis	Geben Sie den gemeinsamen Schlüssel zwischen dem RADIUS-Server und dem Controller ein. Der RADIUS-Server und der Controller verwenden die Schlüsselzeichenfolge, um Kennwörter zu verschlüsseln und Antworten auszutauschen.
   Kurzer Name	(Optional) Geben Sie einen Kurznamen ein, um den Client-Abschnitt zu identifizieren.

4.  Klicken Sie mit der rechten Maustaste auf das Symbol und wählen Sie Benutzer bearbeiten, um die MAC-Adressen der Geräte zur Datenbank hinzuzufügen.
   
5. Tragen Sie die MAC-Adressen der Geräte als Benutzername und Passwort in die Datenbank ein. Beachten Sie, dass das Format der MAC-Adresse aus 12 hexadezimalen Ziffern in Kleinbuchstaben ohne Satzzeichen oder Leerzeichen bestehen sollte.
   
6. Klicken Starten Sie FreeRaDIUS.net Service neu, um FreeRaDIUS.net neu zu starten, damit der neu bearbeitete Code wirksam wird.

1. Gehen Sie zu Einstellungen > Drahtlose Netzwerke, um ein drahtloses Netzwerk zu erstellen.
2.  Klicken Sie auf + Neues drahtloses Netzwerk erstellen, um die folgende Seite zu laden. Konfigurieren Sie die grundlegenden Parameter für das drahtlose Netzwerk und wählen Sie Keine als Sicherheitsstrategie.
   

   Netzwerk Name (SSID)	Geben Sie den Netzwerknamen (SSID) ein, um das drahtlose Netzwerk zu identifizieren. Die MAC-basierte Authentifizierung erfolgt basierend auf SSIDs.
   Band	Aktivieren Sie das 2.4-GHz- und/oder 5-GHz-Funkband für das drahtlose Netzwerk.
   Gastnetzwerk	Wenn das Gastnetzwerk aktiviert ist, werden alle Clients, die sich mit der SSID verbinden, daran gehindert, ein privates IP-Subnetz zu erreichen.
   Sicherheit	Wählen Sie die Sicherheitsstrategie für das drahtlose Netzwerk aus. Wenn Sie die SSID für die MAC-basierte Authentifizierung verwenden möchten, wählen Sie Keine als Sicherheitsstrategie. Andernfalls muss ein Client sowohl die MAC-basierte Authentifizierung als auch die hier gewählte Sicherheitsstrategie bestehen, bevor er auf das Internet zugreifen kann.

3. Gehen Sie zu Einstellungen > Authentifizierung > RADIUS Profiles zum Erstellen eines RADIUS-Profile.
4.  Klicken Sie auf + Neuen RADIUS Pro erstellenfile um die folgende Seite zu laden. Konfigurieren Sie die folgenden Parameter.
   

   Name	Geben Sie einen Namen ein, um den RADIUS pro . zu identifizierenfile.
   Authentifizierungsserver-IP	Geben Sie die IP-Adresse des Authentifizierungsservers ein. Tragen Sie hier die IP-Adresse des Rechners ein, auf dem Sie das freeRADIUS.net installieren.
   Authentifizierungsport	Geben Sie den UDP-Zielport auf dem Authentifizierungsserver für Authentifizierungsanfragen ein. Port 1812 ist der Standardport für die RADIUS-Server-Authentifizierung, sodass Sie ihn in den meisten Fällen beibehalten können.
   Authentifizierungspasswort	Geben Sie das Passwort ein, das verwendet wird, um die Kommunikation zwischen Omada-Geräten und dem RADIUS-Authentifizierungsserver zu validieren. Geben Sie hier das Geheimnis ein, nämlich den Shared Key, den Sie im freien Radius gesetzt haben.

   

1.  Gehen Sie zu Einstellungen > Authentifizierung > MAC-basierte Authentifizierung, um die Funktion zu aktivieren.
   
2. Konfigurieren Sie die folgenden Parameter.
   

   SSID	Wählen Sie eine oder mehrere SSIDs aus, damit die MAC-basierte Authentifizierung wirksam wird.
   RADIUS Profile	Wählen Sie den RADIUS-Profile Sie aus der Dropdown-Liste erstellt haben. Der RADIUS-Profifile zeichnet die Informationen des RADIUS-Servers auf, der während der MAC-basierten Authentifizierung als Authentifizierungsserver fungiert.
   MAC-basiert Authentifizierungs-Fallback	Wenn das Wireless-Netzwerk sowohl mit MAC-basierter Authentifizierung als auch mit Portal-Authentifizierung konfiguriert ist, muss ein Wireless-Client bei Aktivierung dieser Funktion nur eine Authentifizierung durchlaufen. Der Client versucht zuerst die MAC-basierte Authentifizierung und darf die Portal-Authentifizierung versuchen, wenn die MAC-basierte Authentifizierung fehlgeschlagen ist. Wenn Sie diese Funktion standardmäßig deaktivieren, muss ein drahtloser Client sowohl die MAC-basierte Authentifizierung als auch die Portal-Authentifizierung für den Internetzugang bestehen und wird abgelehnt wenn einer von beiden fehlschlägt Authentifizierungen.
   MAC-Adressformat	Wählen Sie das MAC-Adressformat der Clients aus, das der Controller zur Authentifizierung verwendet. Dann ändert der Controller die MAC-Adressen im angegebenen Format und sie werden als Benutzernamen für die Clients auf dem RADIUS-Server verwendet. Hier in freeRADIUS.net werden die MAC-Adressen im Format aabbccddeeff (12 hexadezimale Ziffern in Kleinbuchstaben ohne Satzzeichen oder Leerzeichen) gespeichert.
   Leeres Passwort	Klicken Sie hier, um ein leeres Kennwort für die MAC-basierte Authentifizierung zuzulassen. Wenn diese Option deaktiviert ist, entspricht das Kennwort dem Benutzernamen.

Überprüfung der Konfiguration

Nachdem alle Konfigurationen abgeschlossen sind, können Sie die folgenden Schritte ausführen, um zu testen, ob die MAC-basierte Authentifizierung funktioniert.

1. Suchen Sie das drahtlose Netzwerk auf dem Gerät, dessen MAC-Adresse in die Datenbank des RADIUS-Servers aufgenommen wurde.
2. Wählen Sie die SSID aus, die Sie auswählen, damit die MAC-basierte Authentifizierung wirksam wird.
3.  Wenn sich das Gerät mit der SSID verbindet und Zugang zum Internet hat, bedeutet dies, dass das Gerät die Authentifizierung bestanden hat.
   Gehe zu Kunden und prüfen Sie, ob sich das Gerät in der Client-Liste im Status Verbunden befindet, bedeutet dies, dass das Gerät die Authentifizierung bestanden hat.

Omada SDN-Controller 4.1.5 oder höher
19110012900 REV 1.0.0
© 2021 TP-Link
Februar 2021

Dokumente / Ressourcen

tp-link MAC-basierte Authentifizierungskonfiguration [pdf] Benutzerhandbuch tp-link, MAC-basiert, Authentifizierung, Konfiguration

Verweise

• Bedienungsanleitung