802.1X – Enterprise-Wlan für die Uni Trier

Neben fließendem Wasser und Strom könnte man inzwischen annehmen, dass Internetzugang ebenso zu den Grundbedürfnissen unserer Gesellschaft geworden ist („Möchtest du was trinken? Brauchst du Internet?“). Dabei reichen auch hier die Möglichkeiten von maximal einfach (öffentliches WLAN, jeder kann sich verbinden und auch auf alles zugreifen) bis hin zu maximal kompliziert (WLAN für Verbindungen an sich offen, aber der Zugang wird erst über eine – im schlimmsten Fall – proprietäre VPN-Software hergestellt). Letzteres ist – aus für micht nicht bekannten Gründen – anscheinend die favorisierte Variante für eine große Anzahl Universitäten, wobei man fairnesshalber dazu sagen muss, dass das fast immer eingesetzte Cisco VPN de-facto mehr als Standard und nicht als proprietäre Lösung gesehen werden kann. Diese Lösung ist etabliert, funktioniert und ist – im Vergleich zu offenen WLANs oder WebAuth-Lösungen – auch relativ sicher. Nur: Was, wenn das Endgerät Cisco VPN nicht unterstützt? Dies ist z. B. bei kleinen IoT-Devices oder teilweise auch Smartphone-Lösungen der Fall, und nicht jeder Nutzer ist versiert oder interessiert genug, sich mit den Besonderheiten einer VPN-Lösung auseinanderzusetzen.

Dabei gibt es schon seit Jahren (seit wann genau weiß ich nicht, aber das RFC-Dokument ist auf September 2003 datiert) einen Standard, der recht umfassende und nahezu überall unterstützte Authentifizierungsmöglichkeiten bietet: 802.1X ist die offizielle Bezeichnung, oft auch Enterprise-WLAN genannt.

Bei Restrukturierungsarbeiten im Netzwerk der Universität Trier wurde nun entschieden, dass wir von der VPN-Lösung weg hin zur 802.1X-Authentifizierung migrieren sollen. Nach einiger Planungsarbeit sowie Testaufbauten haben wir uns nun für folgende Struktur entschieden: Als Zugangspunkte dienen Cisco AccessPoints, die mit einem sog. Concentrator verbunden sind, der sowohl die Zugänge als auch den Datenverkehr regelt. Das zentrale Benutzerverzeichnis der Universität liegt in einem Active Directory, also mussten wir Concentrator und Active Directory miteinander verbinden. Da der Concentrator keine zufriedenstellende direkte Integration für das Active Directory anbot, entschieden wir uns, eine FreeRadius-Installation (bestehend aus 2 Servern im HA-betrieb) dazwischenzuschalten. (Free)Radius ist dabei als Standard-Triple-A-System (Authentication, Authorization and Accouting) voll von der Concentrator-Appliance unterstützt. Das bei FreeRadius mitgelieferte Tool ntlm_auth bietet dann eine einfache Schnittstelle zur Authentifikation gegen das Active Directory an.

Bei der Umstellung wurde dann auch die Anbindung an das eduroam-Netzwerk realisiert.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.