Konfigurieren von EAP-Typen (Extensible Authentication Protocol)

  • nP
  • jD

Für die Authentifizierung bei Wi-Fi- oder kabelgebundenen Netzwerken stehen zahlreiche Optionen zur Verfügung, insbesondere wenn Ihre Infrastruktur mehr als einen Authentifizierungstyp unterstützt. Jede Option verfügt über einzigartige Einstellungen, die Sie konfigurieren müssen. In diesem Artikel werden die gängigsten Konfigurationsoptionen behandelt. Weitere Informationen zum Konfigurieren von Unternehmensnetzwerken finden Sie in den Supportartikeln Konfigurieren des WLAN-Library Item und Konfigurieren des Ethernet-Library Item Support.

Ihre Netzwerkinfrastruktur muss die ausgewählten EAP-Typen unterstützen und ordnungsgemäß konfiguriert sein, um die Authentifizierung zu ermöglichen. Wenn Sie nicht wissen, wie Ihr Netzwerk konfiguriert ist, arbeiten Sie mit Ihren Netzwerkadministratoren zusammen, um zu bestimmen, wie Netzwerkclients eine Verbindung herstellen sollen.

Konfigurieren von EAP-TLS

EAP-TLS verwendet Transport Layer Security und ein Identitätszertifikat, um Geräte gegenüber dem Netzwerk zu authentifizieren.

Sie müssen ein Identitätszertifikat bereitstellen, um EAP-TLS verwenden zu können.

  1. Wählen Sie TLS unter Akzeptierte EAP-Typen aus.

  2. Um die Verwendung älterer und schwächerer TLS-Versionen zu verhindern, wählen Sie die TLS-Mindestversion aus, die Sie zulassen möchten.

  3. Wenn Ihre Infrastruktur die neuesten Versionen von TLS nicht unterstützt, wählen Sie die maximale TLS-Version aus, die Sie verwenden möchten.

  4. Wählen Sie eine Methode aus, um ein Identitätszertifikat bereitzustellen und die entsprechenden Einstellungen zu konfigurieren. Weitere Informationen finden Sie unter Konfigurieren des WLAN- Library Item

Konfigurieren von EAP-TTLS

Tunneled Transport Layer Security verwendet einen TLS-Tunnel, um ein anderes Authentifizierungsprotokoll zu verschlüsseln. Es ist kein Identitätszertifikat erforderlich.

Geräte können zur Authentifizierung einen Benutzernamen und ein Kennwort oder gerätebasierte Verzeichnisanmeldeinformationen verwenden. 

Authentifizierung mit Benutzername und Passwort:

  1. Wählen Sie Benutzername und Kennwort für Authentifizierung aus.

  2. Geben Sie optional den Benutzernamen an. Sie können einen statischen Wert oder eine der globalen Variablen vonKandji verwenden, z. B. $EMAIL. Wenn Sie keinen Benutzernamen eingeben, fordert das Gerät den Benutzer auf, einen Benutzernamen einzugeben, wenn er eine Verbindung zum Netzwerk herstellt.

  3. Wählen Sie aus, wie oft der Benutzer zur Eingabe seines Kennworts aufgefordert werden soll. Wenn Sie Einmal auswählen und kein Kennwort angeben, fordert das Gerät den Benutzer einmal zur Eingabe seines Kennworts auf und merkt es sich. Wenn Sie Jedes Mal, wenn der Benutzer eine Verbindung mit dem Netzwerk herstellt, auswählen, merkt sich das Gerät das Kennwort nicht.

  4. Wenn Geräte einen gemeinsam genutzten Benutzernamen und ein gemeinsames Kennwort verwenden, geben Sie das Kennwort in das Feld "Kennwort" ein. Wenn Sie kein Kennwort eingeben, fordert das Gerät den Benutzer auf, ein Kennwort einzugeben, wenn eine Verbindung zum Netzwerk hergestellt wird.

Gerätebasierte Verzeichnisauthentifizierung für einen Mac, der an einen Verzeichnisdienst gebunden ist:

  1. Wählen Sie entweder die Computer-AD-Systemauthentifizierung aus, um das Active Directory-Computerkonto zu verwenden, oder die Computer-OD-Systemauthentifizierung, um das Open Directory-Computerkonto zu verwenden.

Konfigurieren Sie die restlichen TTLS-Einstellungen:

  1. Wenn Sie TTLS auswählen, verwendet Ihr Gerät einen Benutzernamen und ein Kennwort oder Anmeldeinformationen für das Geräteverzeichnis für die Authentifizierung. Wenn Ihr Netzwerk ein Identitätszertifikat als zweiten Authentifizierungsfaktor erfordert, wählen Sie Zwei-Faktor-Authentifizierung erforderlich aus.

  2. Wählen Sie für Innere Authentifizierung das Authentifizierungsprotokoll aus, das innerhalb des TLS-Tunnels verwendet werden soll.

  3. Geben Sie optional die äußere Identität an. Sie unterscheidet sich von der Identität, die innerhalb des Tunnels verwendet wird, und wird angegeben, um zu verhindern, dass die innere Identität offengelegt wird. 

  4. Um die Verwendung älterer und schwächerer TLS-Versionen zu verhindern, wählen Sie die TLS-Mindestversion aus, die Sie zulassen möchten

  5. Wenn Ihre Infrastruktur die neuesten Versionen von TLS nicht unterstützt, wählen Sie die maximale TLS-Version aus, die Sie verwenden möchten.

Konfigurieren von EAP-LEAP

Lightweight Extensible Authentication Protocol ist eine ältere Authentifizierungsmethode, die auf MS-CHAP und Dynamic WEP basiert. Es wird kein Identitätszertifikat verwendet.

Geräte können zur Authentifizierung einen Benutzernamen und ein Kennwort oder gerätebasierte Verzeichnisanmeldeinformationen verwenden. 

Authentifizierung mit Benutzername und Passwort:

  1. Wählen Sie Benutzername und Kennwort für Authentifizierung aus.

  2. Geben Sie optional den Benutzernamen an. Sie können einen statischen Wert oder eine der globalen Variablen vonKandji verwenden, z. B. $EMAIL. Wenn Sie keinen Benutzernamen eingeben, fordert das Gerät den Benutzer auf, einen Benutzernamen einzugeben, wenn er eine Verbindung zum Netzwerk herstellt.

  3. Wählen Sie aus, wie oft der Benutzer zur Eingabe seines Kennworts aufgefordert werden soll. Wenn Sie Einmal auswählen und kein Kennwort angeben, fordert das Gerät den Benutzer einmal zur Eingabe seines Kennworts auf und merkt es sich. Wenn Sie Jedes Mal, wenn der Benutzer eine Verbindung mit dem Netzwerk herstellt, auswählen, merkt sich das Gerät das Kennwort nicht.

  4. Wenn Geräte einen gemeinsam genutzten Benutzernamen und ein gemeinsames Kennwort verwenden, geben Sie das Kennwort in das Feld "Kennwort" ein. Wenn Sie kein Kennwort eingeben, fordert das Gerät den Benutzer auf, ein Kennwort einzugeben, wenn eine Verbindung zum Netzwerk hergestellt wird.

Gerätebasierte Verzeichnisauthentifizierung für einen Mac, der an einen Verzeichnisdienst gebunden ist:

  1. Wählen Sie für Authentifizierung die Option Computer-AD-Systemauthentifizierung aus, um das Active Directory-Computerkonto zu verwenden, oder Computer-OD-Systemauthentifizierung, um das Open Directory-Computerkonto zu verwenden. 

Konfigurieren von EAP-PEAP

Protected Extensible Authentication Protocol behebt Unzulänglichkeiten früherer Extensible Authentication Protocols wie z. B. LEAP. Wie EAP-TTLS verwendet PEAP einen TLS-Tunnel, um ein anderes Authentifizierungsprotokoll zu verschlüsseln. Es ist kein Identitätszertifikat erforderlich.

Geräte können zur Authentifizierung einen Benutzernamen und ein Kennwort oder gerätebasierte Verzeichnisanmeldeinformationen verwenden. 

Authentifizierung mit Benutzername und Passwort:

  1. Wählen Sie Benutzername und Kennwort für Authentifizierung aus.

  2. Geben Sie optional den Benutzernamen an. Sie können einen statischen Wert oder eine der globalen Variablen vonKandji verwenden. Beispiel: $EMAIL. Wenn Sie keinen Benutzernamen eingeben, fordert das Gerät den Benutzer auf, einen Benutzernamen einzugeben, wenn er eine Verbindung zum Netzwerk herstellt.

  3. Wählen Sie aus, wie oft der Benutzer zur Eingabe seines Kennworts aufgefordert werden soll. Wenn Sie Einmal auswählen und kein Kennwort angeben, fordert das Gerät den Benutzer einmal zur Eingabe seines Kennworts auf und merkt es sich. Wenn Sie Jedes Mal, wenn der Benutzer eine Verbindung mit dem Netzwerk herstellt, auswählen, merkt sich das Gerät das Kennwort nicht.

  4. Wenn Geräte einen gemeinsam genutzten Benutzernamen und ein gemeinsames Kennwort verwenden, geben Sie das Kennwort in das Feld "Kennwort" ein. Wenn Sie kein Kennwort eingeben, fordert das Gerät den Benutzer auf, ein Kennwort einzugeben, wenn eine Verbindung zum Netzwerk hergestellt wird.

Gerätebasierte Verzeichnisauthentifizierung für einen Mac, der an einen Verzeichnisdienst gebunden ist:

  1. Wählen Sie für Authentifizierung die Option Computer-AD-Systemauthentifizierung aus, um das Active Directory-Computerkonto zu verwenden, oder Computer-OD-Systemauthentifizierung, um das Open Directory-Computerkonto zu verwenden. 

Konfigurieren Sie die verbleibenden PEAP-Einstellungen:

  1. Wenn Sie PEAP auswählen, verwendet Ihr Gerät einen Benutzernamen und ein Kennwort oder Anmeldeinformationen für das Geräteverzeichnis für die Authentifizierung. Wenn Ihr Netzwerk ein Identitätszertifikat als zweiten Authentifizierungsfaktor erfordert, wählen Sie Zwei-Faktor-Authentifizierung erforderlich aus.

  2. Um die Verwendung älterer und schwächerer TLS-Versionen zu verhindern, wählen Sie die TLS-Mindestversion aus, die Sie zulassen möchten.

  3. Wenn Ihre Infrastruktur die neuesten Versionen von TLS nicht unterstützt, wählen Sie die maximale TLS-Version aus, die Sie verwenden möchten.

  4. Geben Sie optional die äußere Identität an. Sie unterscheidet sich von der Identität, die im Tunnel verwendet wird, und wird angegeben, um zu verhindern, dass die innere Identität offengelegt wird. 

Konfigurieren von EAP-FAST

Flexible Authentication via Secure Tunneling (FAST) verwendet einen TLS-Tunnel, um zusätzliche Authentifizierungsinformationen zu verschlüsseln. FAST unterstützt auch die schnelle Wiederherstellung des Tunnels durch Protected Access Credentials (PAC). Es ist kein Identitätszertifikat erforderlich.

Ein Benutzername und ein Kennwort oder gerätebasierte Verzeichnisanmeldeinformationen können die Authentifizierung ermöglichen.

Authentifizierung mit Benutzername und Passwort:

  1. Wählen Sie Benutzername und Kennwort für Authentifizierung aus.

  2. Geben Sie optional den Benutzernamen an. Sie können einen statischen Wert oder eine der globalen Variablen vonKandji verwenden. Beispiel: $EMAIL. Wenn Sie keinen Benutzernamen eingeben, fordert das Gerät den Benutzer auf, einen Benutzernamen einzugeben, wenn er eine Verbindung zum Netzwerk herstellt.

  3. Wählen Sie aus, wie oft der Benutzer zur Eingabe seines Kennworts aufgefordert werden soll. Wenn Sie Einmal auswählen und kein Kennwort angeben, fordert das Gerät den Benutzer einmal zur Eingabe seines Kennworts auf und merkt es sich. Wenn Sie Jedes Mal, wenn der Benutzer eine Verbindung mit dem Netzwerk herstellt, auswählen, merkt sich das Gerät das Kennwort nicht.

  4. Wenn Geräte einen gemeinsam genutzten Benutzernamen und ein gemeinsames Kennwort verwenden, geben Sie das Kennwort in das Feld "Kennwort" ein. Wenn Sie kein Kennwort eingeben, fordert das Gerät den Benutzer auf, ein Kennwort einzugeben, wenn eine Verbindung zum Netzwerk hergestellt wird.

Gerätebasierte Verzeichnisauthentifizierung für einen Mac, der an einen Verzeichnisdienst gebunden ist:

  1. Wählen Sie für Authentifizierung die Option Computer-AD-Systemauthentifizierung aus, um das Active Directory-Computerkonto zu verwenden, oder Computer-OD-Systemauthentifizierung, um das Open Directory-Computerkonto zu verwenden.

Konfigurieren Sie die restlichen EAP-FAST-Einstellungen:

  1. Wenn Sie EAP-FAST auswählen, verwendet Ihr Gerät einen Benutzernamen und ein Kennwort oder Anmeldeinformationen für das Geräteverzeichnis für die Authentifizierung. Wenn Ihr Netzwerk ein Identitätszertifikat als zweiten Authentifizierungsfaktor erfordert, wählen Sie Zwei-Faktor-Authentifizierung erforderlich aus.

  2. Geben Sie optional die äußere Identität an. Sie unterscheidet sich von der Identität, die innerhalb des Tunnels verwendet wird, und wird angegeben, um zu verhindern, dass die innere Identität offengelegt wird. 

  3. Um Anmeldeinformationen für geschützten Zugriff zu verwenden, wählen Sie PAC verwenden aus.

  4. Um Anmeldeinformationen für den geschützten Zugriff zu verwenden, wählen Sie PAC-Datei bereitstellen aus.

  5. Wenn Sie die PAC anonym bereitstellen möchten, wählen Sie PAC anonym bereitstellen aus. 

EAP-SIM konfigurieren

Diese Authentifizierungsmethode ist nur mit dem Wi-Fi-Library Item kompatibel.

EAP-SIM verwendet das Subscriber Identity Module (SIM) eines Geräts für ein GSM-Netzwerk (Global System for Mobile Communications), um sich bei Wi-Fi zu authentifizieren. Dieser EAP-Typ wird in sehr wenigen Umgebungen verwendet, z. B. wenn Sie ein Mobilfunknetzbetreiber (Mobile Network Operator, MNO) oder ein Mobile Virtual Network Operator (MVNO) sind. Es ist kein Identitätszertifikat erforderlich.

  1. Wählen Sie die Mindestanzahl von RAND-Werten aus, die die Geräte vom Server benötigen. Die verfügbaren Optionen sind 3 (Standard), 2 oder Nicht angeben. Mehr RAND-Herausforderungen führen zu einem stärkeren Kodierungsmaterial.

Konfigurieren von EAP-AKA

Diese Authentifizierungsmethode ist nur mit dem Wi-Fi-Library Item kompatibel.

EAP-AKA (Authentication and Key Agreement) verwendet das Identitätsmodul eines Geräts für ein universelles mobiles Telekommunikationssystem (UMTS) und CDMA2000 Netzwerk, um sich bei Wi-Fi zu authentifizieren. Dieser EAP-Typ wird in sehr wenigen Umgebungen verwendet, z. B. wenn Sie ein Mobilfunknetzbetreiber (Mobile Network Operator, MNO) oder ein Mobile Virtual Network Operator (MVNO) sind. Es ist kein Identitätszertifikat erforderlich. Für diesen EAP-Typ können keine Optionen konfiguriert werden.