Anmeldemöglichkeiten mit der IACBOX

In einem sich stetig ändernden Umfeld wie dem Segment der Internet-Access-Gateways ist es notwendig, eine Vielzahl an Möglichkeiten der Anmeldung bereitzustellen. Die Anmeldemöglichkeiten im Surf-LAN Captive Portal sind vielfältig: mittels Accounts in beliebten Social-Media Portalen, Autologin auf IP/MAC Basis, über Anbindung an ein Hotelsystem (PMS), etwa für die automatische Buchung auf die Zimmerrechnung, per SMS oder auch durch externe Authentifizierung. Gegenstand dieses Artikels soll die genauere Betrachtung der externen Authentifizierung sein, die Vorstellung der Komponenten und die Erörterung möglicher Einsatzzwecke. Er ist der erste einer Blogserie, in welcher unterschiedliche Methoden der externen Authentifizierung vorgestellt werden. Wir starten mit dem Thema RADIUS.

Externe Authentifizierung?

Sowohl auf der Surf-LAN Seite (IACBOX Gast) als auch auf der Office-LAN Seite (IACBOX Administration) kann die Externe Authentifizierung (ExtAuth in der Folge genannt) zum Tragen kommen. Die Protokolle, welche für ExtAuth zum Einsatz kommen, umfassen unter anderem LDAP, RADIUS, iPass, MySQL.

ExtAuth Komponente RADIUS

Wir betrachten in diesem Artikel RADIUS, ein Protokoll, welches für AAA-Zwecke der (Authentifizierung, Autorisierung und Accounting) genutzt wird. Es ist ein Client/Server Protokoll und stellt einen zentralisierten Weg dar, um Benutzerinformationen zu verwalten.

Zunächst wollen wir einige Begriffe klarstellen: Authentifizierung wird der Prozess genannt, mit der ein RADIUS Server die Benutzerinformationen prüft, bevor der Zugang gestattet wird. Autorisierung hingegen meint das Level oder den Umfang des Zugangs, nachdem dieser gewährt wurde. In unserem Falle geht es ausschließlich um „Zugriff gestattet“ oder „Zugriff verweigert“, also um Authentifizierung. Accounting wiederum dient der Protokollierung der Benutzersitzung, beispielsweise wie viele Daten übertragen wurden oder wie lang die Sitzung dauerte.

Bevor nun zum Zweck der Authentifizierung eine RADIUS-Abfrage gestartet werden kann, ist für die IACBOX ein Zugriffspasswort notwendig, um als Radius Client (IACBOX) auf den Radius Server zuzugreifen (Shared Secret). Weitere Daten wie Hostname und Port (Standard 1812) sind ebenso bei der IACBOX Konfiguration notwendig.

Wenn eine Zugriffsanfrage durchgeführt werden soll, sind Zugangsinformationen notwendig. Diese Informationen werden vom RADIUS Client (der auf der IACBOX läuft) zu dem RADIUS Server gesendet. Der Server gleicht diese Daten nun mit seiner Datenbank ab, bevor das Resultat (access-accept oder access-reject) an den Client (IACBOX) zurückgesendet wird.

Nach dieser Prüfung wird basierend auf der Antwort („access-accept“) ein Ticket erstellt, mit welchem der IACBOX Surf-LAN Gast online genommen wird. Die Eigenschaften dieses Tickets basieren auf einem Template, das zuvor in Ticket/Templates definiert wurde.

Komponenten auf der IACBOX Seite (RADIUS client)

Die Einrichtung der ExtAuth Radius erfolgt im Menü Modules/Authentication (Voraussetzung dafür ist die korrekte Lizenzierung und die Aktivierung des Dienstes). Die Verwendung des Surf-LAN kann  mit Hilfe der  „Client Authentication“ eingestellt werden, indem das entsprechende Ticket Template hinterlegt wird. Soll RADIUS bei der Anmeldung auf der Office-LAN Seite (administrativ) zur Anwendung kommen, so ist die Checkbox „Use for WebAdmin“ zu setzen – nicht genutzte Felder werden automatisch ausgeblendet.

Betrachtung möglicher Einsatzgebiete und weiterer Ausblick

Ein mögliches Einsatzgebiet dieser Art der Authentifizierung sind alle Arten der Anmeldemöglichkeit für zentrale Administrierbarkeit von bereits registrierten Usern (Mitarbeiter, Schüler, Studenten, Klienten, Patienten, Versicherte, im Firmenumfeld auch mit dem Stichwort BYOD), oder auch die Anbindung verschiedener Standorte an einen zentralen Anmeldeserver. Netzzugangsprovider benutzen RADIUS, um Zugänge für DSL/Einwahlverbindungen zu verwalten, eine Anbindung hierzu ist auch denkbar.

Nicht damit zu verwechseln ist die Anbindung via PMS (Property Management System). Im Hotel/Gastronomie-Umfeld kommen solche Systeme zum Einsatz. Die angebotenen Schnittstellen sind produktspezifisch und werden durch das PMS Modul der IACBOX abgedeckt. Sollte es möglich sein, auf ein wohldefiniertes Protokoll des ExtAuth Moduls zurückzugreifen, so ist dies in den allermeisten Fällen empfehlenswert, da es sich hierbei um Industriestandards mit hohem Verbreitungsgrad handelt.

Weitere unterstützte Protokolle der ExtAuth sind bspw. MySQL/PostgreSQL DBMS, Active Directory (Microsoft Domain Controller) & LDAP.