RADIUS-Server ein­rich­ten: Anleitung für Linux

Ein RADIUS-Server er­mög­licht die zentrale Au­then­ti­fi­zie­rung und Au­to­ri­sie­rung von Netz­werk­zu­grif­fen, zum Beispiel für WLAN, VPN oder Switches. Bei der Ein­rich­tung spielen unter anderem die Wahl des passenden Ser­ver­typs, sichere Au­then­ti­fi­zie­rungs­ver­fah­ren, saubere Be­nut­zer­ver­wal­tung und eine stabile Netz­werk­kon­fi­gu­ra­ti­on eine wichtige Rolle.

Vor­aus­set­zun­gen und Wahl des passenden Ser­ver­typs

Ein RADIUS-Server ist ein zentraler Dienst zur Au­then­ti­fi­zie­rung, Au­to­ri­sie­rung und Pro­to­kol­lie­rung von Zugriffen. Als Server-Software können Sie An­wen­dun­gen wie Free­RA­DI­US einsetzen, die Sie auf einem eigenen System kon­fi­gu­rie­ren. Geräte im Netzwerk wie Access Points oder VPN-Gateways fragen den Server bei jeder Anmeldung an, der dann prüft, ob ein Zugriff erlaubt ist.

Tech­ni­sche Vor­aus­set­zun­gen:

• Ein Linux- oder Windows-Server mit fester IP-Adresse
• Netz­werk­ge­rä­te, die RADIUS un­ter­stüt­zen (z. B. Access Points, Router, Switches)
• Zugriff auf Firewall- und Netzwerk-Kon­fi­gu­ra­tio­nen

Ein RADIUS-Server muss zu­ver­läs­sig, per­for­mant und stabil laufen. Die Wahl des ge­eig­ne­ten Ser­ver­typs für das Hosting be­ein­flusst dabei nicht nur die Leistung, sondern auch Ska­lier­bar­keit, Kosten und War­tungs­auf­wand. Zu den besten Lösungen zählen VPS und Dedicated-Server:

• VPS (Virtual Private Server): Geeignet für kleine bis mittlere Um­ge­bun­gen wie ein Un­ter­neh­mens-WLAN, VPN-Zugänge oder Lab-Setups. Ein VPS reicht meist aus, solange keine sehr hohe Au­then­ti­fi­zie­rungs­ra­te oder Hoch­ver­füg­bar­keit er­for­der­lich ist.
• Dedicated Server: Sinnvoll bei vielen gleich­zei­ti­gen Anfragen, hohen Si­cher­heits­an­for­de­run­gen oder wenn Hoch­ver­füg­bar­keit und Redundanz geplant sind. Auch bei sensiblen Um­ge­bun­gen oder re­gu­la­to­ri­schen An­for­de­run­gen ist ein Dedicated Server oft die bessere Wahl.

Schritt-für-Schritt: RADIUS-Server ein­rich­ten

Im folgenden Beispiel wird von einer klas­si­schen Linux-Umgebung wie Ubuntu oder Debian aus­ge­gan­gen. Die grund­le­gen­den Schritte sind bei anderen Systemen ähnlich.

Schritt 1: RADIUS-Server-Software in­stal­lie­ren

Im ersten Schritt müssen Sie eine geeignete Server-Software in­stal­lie­ren. Diese stellt die ei­gent­li­che RADIUS-Funk­tio­na­li­tät bereit und ver­ar­bei­tet später die Anfragen der Netz­werk­ge­rä­te. Besonders beliebt ist die weit ver­brei­te­te Software Free­RA­DI­US. Sie un­ter­stützt gängige Au­then­ti­fi­zie­rungs­ver­fah­ren sowie An­bin­dun­gen an Ver­zeich­nis­diens­te wie LDAP oder Active Directory.

In einer Linux-Umgebung, etwa unter Debian oder Ubuntu, lässt sich Free­RA­DI­US direkt über die Pa­ket­ver­wal­tung in­stal­lie­ren:

sudo apt update
sudo apt install freeradius freeradius-utils

Nach der In­stal­la­ti­on wird der Dienst au­to­ma­tisch ein­ge­rich­tet und gestartet. Der RADIUS-Server läuft damit bereits im Hin­ter­grund, ist jedoch noch nicht produktiv nutzbar, da die not­wen­di­gen Kon­fi­gu­ra­tio­nen noch fehlen.

Schritt 2: Grund­kon­fi­gu­ra­ti­on des RADIUS-Servers

Nach der In­stal­la­ti­on ist der RADIUS-Server zwar gestartet, weiß aber noch nicht, wer sich anmelden darf, von welchen Geräten Anfragen kommen und wie diese geprüft werden sollen. Diese In­for­ma­tio­nen werden in der Grund­kon­fi­gu­ra­ti­on fest­ge­legt. Bei Free­RA­DI­US liegen nahezu alle Ein­stel­lun­gen in Text­da­tei­en, die mit einem normalen Editor wie nano, vim oder Notepad++ be­ar­bei­tet werden können. Zentrale Punkte, die Sie dort be­ar­bei­ten können:

• Clients de­fi­nie­ren: Netz­werk­ge­rä­te, die sich am RADIUS-Server au­then­ti­fi­zie­ren dürfen, werden mit IP-Adresse und Shared Secret ein­ge­tra­gen.
• Au­then­ti­fi­zie­rungs­ar­ten festlegen: Je nach Ein­satz­zweck kommen un­ter­schied­li­che Verfahren zum Einsatz, etwa einfache Pass­wort­ver­fah­ren oder ver­schlüs­sel­te Methoden für WLAN- oder VPN-Zugänge.
• Benutzer oder Ver­zeich­nis anbinden: Zum Start können User lokal auf dem RADIUS-Server angelegt werden, zum Beispiel für Test­zwe­cke. In pro­duk­ti­ven Um­ge­bun­gen wird der Server häufig an ein zentrales Ver­zeich­nis wie LDAP oder Active Directory an­ge­bun­den.

Schritt 3: Netz­werk­ge­rä­te als RADIUS-Clients kon­fi­gu­rie­ren

Nun werden die Geräte kon­fi­gu­riert, die den RADIUS-Server nutzen sollen. In der Regel sind das WLAN-Access-Points, Switches oder VPN-Gateways.

Dabei müssen folgende In­for­ma­tio­nen hin­ter­legt werden:

• IP-Adresse des RADIUS-Servers: Die IP-Adresse gibt an, unter welcher Netz­werk­adres­se der RADIUS-Server er­reich­bar ist. Das Netz­werk­ge­rät (z. B. Access Point oder VPN-Gateway) nutzt diese Adresse, um Au­then­ti­fi­zie­rungs­an­fra­gen gezielt an den richtigen Server zu senden.
• Port: Der Port legt fest, über welchen Netzwerk-Port die Kom­mu­ni­ka­ti­on mit dem RADIUS-Server erfolgt. Stan­dard­mä­ßig wird für die Au­then­ti­fi­zie­rung UDP-Port 1812 und für das Ac­coun­ting UDP-Port 1813 genutzt. Al­ter­na­tiv exis­tie­ren weitere Ports, etwa für Ac­coun­ting, die je nach Setup ebenfalls kon­fi­gu­riert werden können.
• Shared Secret: Das Shared Secret ist ein gemeinsam hin­ter­leg­tes Geheimnis, das sowohl auf dem RADIUS-Server als auch auf dem Netz­werk­ge­rät identisch ein­ge­tra­gen wird. Es dient dazu, die Kom­mu­ni­ka­ti­on ab­zu­si­chern und si­cher­zu­stel­len, dass nur au­to­ri­sier­te Geräte Anfragen an den RADIUS-Server stellen dürfen.

Schritt 4: Funk­ti­ons­test durch­füh­ren

Bevor der Server produktiv genutzt wird, sollte ein Test erfolgen. Typische Tests sind:

• Anmeldung mit einem Test­be­nut­zer­kon­to: So lässt sich fest­stel­len, ob der RADIUS-Server er­reich­bar ist, die Au­then­ti­fi­zie­rungs­da­ten korrekt ver­ar­bei­tet werden und der Zugriff bei gültigen Zu­gangs­da­ten erlaubt wird.
• Über­prü­fung der Logs auf Fehler oder Ab­leh­nun­gen: Dort ist nach­voll­zieh­bar, ob die Anfrage vom richtigen Gerät kam, welche Au­then­ti­fi­zie­rungs­me­tho­de genutzt wurde und warum eine Anmeldung erlaubt oder abgelehnt wurde.
• Test mit feh­ler­haf­ten Zu­gangs­da­ten: Damit wird geprüft, ob Zugriffe korrekt abgelehnt werden, keine un­er­war­te­ten Feh­ler­mel­dun­gen auftreten und das Verhalten den de­fi­nier­ten Si­cher­heits­re­geln ent­spricht.
• Test mit ver­schie­de­nen End­ge­rä­ten oder Au­then­ti­fi­zie­rungs­me­tho­den: So lässt sich si­cher­stel­len, dass der RADIUS-Server nicht nur in einem Ein­zel­fall, sondern im vor­ge­se­he­nen Szenario zu­ver­läs­sig arbeitet.

Schritt 5: Pro­duk­ti­ver Einsatz und Ab­si­che­rung

Nach er­folg­rei­chem Test kann der RADIUS-Server produktiv ein­ge­setzt werden. Jetzt sollten zu­sätz­lich folgende Punkte umgesetzt werden:

• Firewall-Regeln zur Ab­si­che­rung: Im pro­duk­ti­ven Betrieb sollte der RADIUS-Server nicht frei aus allen Netzen er­reich­bar sein. Über Firewall-Regeln wird fest­ge­legt, welche Geräte und Netze überhaupt mit dem Server kom­mu­ni­zie­ren dürfen.
• Ver­schlüs­sel­te Kom­mu­ni­ka­ti­on: Standard-RADIUS verwendet ein Shared Secret, schützt aber nicht au­to­ma­tisch alle Inhalte der Anmeldung. Bei pro­duk­ti­ven Um­ge­bun­gen sollten daher ver­schlüs­sel­te Au­then­ti­fi­zie­rungs­ver­fah­ren ein­ge­setzt werden, etwa EAP-Varianten mit TLS.
• Re­gel­mä­ßi­ge Updates des Systems: Updates schließen bekannte Si­cher­heits­lü­cken, ver­bes­sern die Sta­bi­li­tät und sorgen dafür, dass der Server auch mit aktuellen Clients und Ver­schlüs­se­lungs­ver­fah­ren kom­pa­ti­bel bleibt.
• Backup der Kon­fi­gu­ra­ti­ons­da­tei­en: Re­gel­mä­ßi­ge Backups dieser Dateien er­mög­li­chen es, den Server bei einem Ausfall, be­stehen­den Fehl­kon­fi­gu­ra­tio­nen oder bei einem Sys­tem­wech­sel schnell wie­der­her­zu­stel­len.

Was sollte man bei der Ein­rich­tung eines RADIUS-Servers beachten?

Ein RADIUS-Server übernimmt eine zentrale Rolle in der Zu­griffs­kon­trol­le. Ent­spre­chend wichtig ist es, einige grund­le­gen­de Punkte von Anfang an sauber zu planen und um­zu­set­zen.

Klare Au­then­ti­fi­zie­rungs- und Au­to­ri­sie­rungs­re­geln

Legen Sie fest, wer sich anmelden darf und welche Rechte damit verbunden sind. Das kann vom einfachen Zugang zu einem WLAN bis hin zu dif­fe­ren­zier­ten Be­rech­ti­gun­gen für ver­schie­de­ne Nut­zer­grup­pen reichen. Je klarer diese Regeln definiert sind, desto leichter lässt sich der Betrieb später kon­trol­lie­ren und erweitern.

Si­cher­heit

Die Kom­mu­ni­ka­ti­on zwischen RADIUS-Server und Netz­werk­ge­rä­ten sollte ab­ge­si­chert sein. Verwenden Sie starke Shared Secrets und be­vor­zu­gen Sie moderne, ver­schlüs­sel­te Au­then­ti­fi­zie­rungs­ver­fah­ren. Re­gel­mä­ßi­ge Updates des Be­triebs­sys­tems und der RADIUS-Software sind un­er­läss­lich, um bekannte Si­cher­heits­lü­cken zu schließen.

Be­nut­zer­ver­wal­tung

In kleinen Um­ge­bun­gen reichen lokale Be­nut­zer­kon­ten oft aus. In größeren Netz­wer­ken lohnt sich die Anbindung an ein zentrales Ver­zeich­nis wie LDAP oder Active Directory. So vermeiden Sie doppelte Pflege und behalten den Überblick, wenn Nutzer hin­zu­kom­men oder aus­schei­den.

Pro­to­kol­lie­rung und Aus­wer­tung

Pro­to­kol­lie­rung und Aus­wer­tung sollten von Anfang an aktiviert werden. Log­da­tei­en zeigen, wer sich wann an­ge­mel­det hat und ob es fehl­ge­schla­ge­ne An­mel­de­ver­su­che gab. Diese In­for­ma­tio­nen sind nicht nur für die Feh­ler­su­che hilfreich, sondern auch für Si­cher­heits­ana­ly­sen und mögliche Com­pli­ance-An­for­de­run­gen.

Ver­füg­bar­keit

Fällt der RADIUS-Server aus, sind oft keine An­mel­dun­gen mehr möglich. Prüfen Sie daher früh­zei­tig, ob Sie Redundanz benötigen, etwa durch einen zweiten RADIUS-Server oder re­gel­mä­ßi­ge Backups der Kon­fi­gu­ra­ti­on. Das erhöht die Aus­fall­si­cher­heit und ver­ein­facht die Wie­der­her­stel­lung im Notfall.