Enterprise Authentisie­rungs­server

Authentisierungs­server / Radius / PKI

VPN Szenarien in großen IT Infrastrukturen


Der VPN-Zugriff mit Authentication Server kann abhängig von der ausgewählten Benutzerauthentifizierungsmethode auf mehreren Architekturen basieren. Für jede typische Architektur finden Sie mehrere Varianten mit verschiedenen Authentifizierungsservern (AAA-Server, Radius-Server usw.), verschiedenen Tokens (OTP-Einmalkennwort, USB-Tokens, RSA-SecurID-Token usw.) und verschiedenen Protokollen (X-Auth, IKE / IPSec, usw.).

Beispiel 1: OTP Token mit Radius Server

In dieser Architektur verwendet der Remote-Benutzer ein OTP-Token (Einmalkennwort) in Kombination mit X-Auth als Methode zur Benutzerauthentifizierung. Nach Erhalt der Authentifizierungsanforderung fragt der VPN-Router einen (internen oder externen) Radius-Server ab, um die Benutzeranmeldung und das Kennwort zu überprüfen und schließlich den VPN-Tunnel für diesen Benutzer zu öffnen. Die VPN Client Software muss im X-Auth Modus konfiguriert werden.

Projektkonfiguration:

Abbildung Token OTP mit Radius Server

  • User Auth.: ZYXEL OTP Token
  • Authentication: X-Auth
  • VPN Gateway: ZYXEL ZyWALL 35-70
  • AAA Server: Authenex ASA Server
  • Anleitung: zyxel-authenex.pdf
  • Credit: ZYXEL Engineering Team

Beispiel 2: Zertifikat auf USB Token und VPN Router

In dieser Architektur verwendet der Remote-Benutzer einen USB-Token (oder eine SmartCard) mit einem Zertifikat als Methode zur Benutzerauthentifizierung. Die VPN Client Software handelt die Authentifizierung des Benutzers mit dem VPN Router unter Verwendung seines Zertifikats und IKE / IPSEC aus. Die VPN Client Software muss im Zertifikatmodus konfiguriert werden. Zertifikate werden mit PKI Server Software von Drittanbietern auf den USB-Tokens bereitgestellt.

Projektkonfiguration:

Abbildung Login mit Zertifikat und Radius-Server

  • User Auth.: Login & Passwort
  • Authentication: X-Auth
  • VPN Gateway: D-Link DFL-800
  • AAA Server: WinRadius Radius Server
  • Anleitung: DFL800-Radius.pdf
  • Credit: D-Link Engineering Team

Beispiel 3: Login & Passwort mit Radius Server

In dieser Architektur verwendet der Remote-Benutzer ein einfaches Login / Passwort in Kombination mit X-Auth als Methode für die Benutzerauthentifizierung. Nach Erhalt der Authentifizierungsanforderung fragt der VPN-Router einen (internen oder externen) Radius-Server ab, um die Benutzeranmeldung und das Kennwort zu überprüfen und schließlich den VPN-Tunnel für diesen Benutzer zu öffnen. Die VPN Client Software muss im X-Auth-Modus konfiguriert werden.

Projektkonfiguration:

Abbildung Login & Passwort mit Radius Server

  • User Auth.: Login & Passwort
  • Authentication: X-Auth
  • VPN Gateway: Allied Telesis AT-AR700
  • AAA Server: Windows 2003 Radius Server
  • Anleitung: AT-AR700-Radius.pdf
  • Credit: AlliedTelesis Engineering Team