Installieren und aktivieren Sie den RADIUS-Server
Klicken Sie im Server-Manager mit der rechten Maustaste und wählen Sie „Rollen und Features hinzufügen“. Wählen Sie „Rollenbasierte oder featurebasierte Installation“. Wählen Sie „Netzwerkrichtlinien- und Zugriffsdienste“ aus, fügen Sie die Features hinzu und klicken Sie auf „Weiter“, gefolgt von „Installieren“.
Sobald die Installation abgeschlossen ist, öffnen Sie die Konsole des Netzwerkrichtlinienservers (NPS). Zunächst müssen Sie den NPS in Ihrer Domäne registrieren. Klicken Sie mit der rechten Maustaste auf „NPS“ und wählen Sie „Server im Active Directory registrieren“.
Neuen RADIUS-Client hinzufügen
Der nächste Schritt besteht darin, Ihre Überwachungseinheit als RADIUS-Client hinzuzufügen.
Erweitern Sie „RADIUS-Clients und -Server“, klicken Sie mit der rechten Maustaste auf „RADIUS-Clients“ und wählen Sie anschließend „Neu“.
Vergeben Sie einen aussagekräftigen Namen für Ihre Überwachungseinheit sowie deren IP-Adresse und das gemeinsame Geheimnis (Shared Secret).
Erstellen von Zugriffsgruppen in einer Domäne
Öffnen Sie „Active Directory-Benutzer und -Computer“.
Wählen Sie Ihre Domäne aus, klicken Sie mit der rechten Maustaste darauf, wählen Sie „Neu“ und anschließend „Gruppe“.
Diese Gruppe wird im Folgenden verwendet, um Benutzern den Zugriff auf die Überwachungseinheit zu gewähren.
Fügen Sie auf die gleiche Weise einen neuen Benutzer namens „user_rad_100“ hinzu: Klicken Sie mit der rechten Maustaste, wählen Sie „Neu“ und anschließend „Benutzer“.
Legen Sie auf der Registerkarte „Einwählen“ unter „Netzwerkzugriffsberechtigung“ die Option „Zugriff über NPS-Netzwerkrichtlinie steuern“ fest.
Fügen Sie diesen Benutzer einer zuvor erstellten Gruppe hinzu.
Legen Sie das Benutzerpasswort fest (oder setzen Sie es zurück, indem Sie mit der rechten Maustaste klicken und „Passwort zurücksetzen...“ auswählen); hierbei handelt es sich um den SHA-1-Hash-Code, der aus einem vom Benutzer eingegebenen Klartextpasswort generiert wird.
Für das Passwort „guest“ lautet dieser beispielsweise „35675e68f4b5af7b995d9205ad0fc43842f16450“ (ohne Anführungszeichen).
Eine neue Netzwerkrichtlinie erstellen
Mithilfe von Zugriffsrichtlinien verknüpfen wir die zuvor erstellten RADIUS-Client-Einträge und Domänen-Sicherheitsgruppen mit den Zugriffsüberwachungseinheiten.
Öffnen Sie die Konsole des Netzwerkrichtlinienservers.
Erweitern Sie den Eintrag „Richtlinien“, klicken Sie mit der rechten Maustaste auf „Netzwerkrichtlinien“ und wählen Sie „Neu“.
Legen Sie den Namen der Richtlinie fest und wählen Sie als Zugriffsberechtigung „Zugriff gewähren“.
Auf der nächsten Registerkarte „Bedingungen“ müssen wir die Bedingungen hinzufügen, unter denen diese RADIUS-Richtlinie angewendet werden soll.
Fügen Sie eine Gruppe hinzu, die alle Benutzer enthält, denen die Nutzung des Dienstes gestattet sein soll.
Konfigurieren Sie im nächsten Schritt die „Authentifizierungsmethoden“.
Deaktivieren Sie alle Authentifizierungsmethoden und aktivieren Sie die Methode „Unverschlüsselte Authentifizierung (PAP, SPAP)“.
Löschen Sie im Konfigurationsschritt „Configure Settings“ (Einstellungen konfigurieren) – im Einstellungsbereich für die Standard-RADIUS-Attribute – die Attribute, die standardmäßig vorhanden sind.
Wählen Sie den Bereich für „Vendor Specific“ (Herstellerspezifische) Attribute aus.
Geben Sie als Hersteller „Custom“ an, wählen Sie das Attribut „Vendor-Specific“ aus und klicken Sie auf „Hinzufügen...“.
Klicken Sie unter „Attribute Information“ auf „Add...“.
Geben Sie den Vendor-Code ein (für das Didactum Gerät lautet dieser 39052) und konfigurieren Sie die Attribute anhand der Attributnummer.
Jedes Attribut hat einen Namen und eine Identifikationsnummer. Da der Server kein Wörterbuch für Überwachungseinheiten hat, müssen Attribute über eine Nummer angegeben werden, wie in der folgenden Tabelle dargestellt.
Attribute
| Name | Nummer | Format | Wert |
| SRead | 10 | string | "all" oder Liste von Berechtigungen |
| SWrite | 11 | string | "all" oder Liste von Berechtigungen |
| CRead | 12 | string | "all" |
| CWrite | 13 | string | "all" |
| GRead | 14 | string | "all" oder Liste von Gruppen-IDs |
| GWrite | 15 | string | "all" oder Liste von Gruppen-IDs |
Jedes Benutzerprofil im System kann Zugriff auf Systemressourcen im Modus „Nur Lesen“ oder „Lesen/Schreiben“ haben.
Jede Ressource im System wird mit ihrer entsprechenden Zugriffs-ID verglichen.
Die Zugriffskontrolle erfolgt mittels Listen. Die Liste ist eine Textzeichenkette, die aus durch Kommas getrennten Zugriffs-IDs besteht.
Dementsprechend gibt es im Benutzerprofil zwei Arten von Listen: Listen für Lesezugriff und für Schreibzugriff (sowohl Schreiben als auch Lesen).
Das System erlaubt drei Arten von Berechtigungslisten:
1) Server-Berechtigungslisten:
SRead - Liste für Lesezugriff;
SWrite - Liste für Schreibzugriff;
Die Liste der Identifikatoren von Serverressourcen:
accesskeys - Verwaltung von iButton-Zugangsschlüsseln und anderen kompatiblen;
cameras - Verwaltung von Videokameras;
canbus - Verwaltung des CAN-Bus;
devvirt - Verwaltung virtueller Geräte (Timer, PINGs, Trigger);
elements - Verwaltung von Elementen;
groups - Gruppenverwaltung;
gsm - Verwaltung des GSM-Modems;
languages - Verwaltung installierter Lokalisierungsdateien;
log - Verwaltung des Systemprotokolls;
logics - Verwaltung von Logikschemata;
modules - Verwaltung von Modulen;
notify - Verwaltung von Benachrichtigungen (Mail, Trap, SMS);
relays - Relaisverwaltung (globale Funktionen);
sdcard - Verwaltung der SD-Karte;
system - Laufzeitverwaltung (OC Linux);
users - Benutzerverwaltung;
view - Steuerung des Erscheinungsbildes der Weboberfläche.
Geben Sie die Identifikation users nicht an, andernfalls kann ein Benutzer ohne Administratorrechte die Einträge anderer Benutzer sehen. Außerdem wird der Benutzer über den RADIUS-Server angemeldet und kann die im internen Speicher des Überwachungsgeräts gespeicherten Benutzerkonten nicht bearbeiten oder löschen.
2) Client-Berechtigungslisten (Weboberfläche):
CRead - Liste für Lesezugriff;
CWrite - Liste für Schreibzugriff;
Die Liste der Ressourcen-Identifikatoren des Clients (Weboberfläche) wird gebildet und ausschließlich vom Client (durch die Weboberfläche) entsprechend seiner logischen Organisation verwendet. Derzeit wird sie nicht verwendet und sollte als "all," aufgeführt werden.
3) Listen von Berechtigungen für Objektgruppen:
GRead - eine Liste von Identifikatoren von Gruppen mit Nur-Lesezugriff;
GWrite - eine Liste von Identifikatoren von Gruppen mit Nur-Schreibzugriff;
Listen von Berechtigungen für Gruppen bestehen aus Gruppen-IDs (eine positive ganze Zahl) und dienen dazu, den Zugriff des Clients (Weboberfläche) auf die Gruppenobjekte zu beschränken.
Das Format dieser Listen – durch Kommas getrennte Identifikatoren, wobei es spezielle Steuerwörter gibt:
all - voller Zugriff auf alle Identifikatoren bedeutet vollständigen administrativen Zugriff;
none - Zugriff ist vollständig verboten.
Standardmäßig gibt es im System keine Gruppen, Elemente und Module sind keinen Gruppen zugeordnet, und der Zugriff auf sie ist nur mit den Rechten "all" möglich.
Nachdem Sie alle Attribute angegeben haben, erhalten Sie dieses Ergebnis.
In diesem Beispiel verfügen alle Benutzer der Gruppe „RADIUS“ über vollständige Administratorrechte auf der Überwachungseinheit.