RADIUS-Server einrichten: Anleitung für Linux

Inhaltsverzeichnis

Ein RADIUS-Server ermöglicht die zentrale Authentifizierung und Autorisierung von Netzwerkzugriffen, zum Beispiel für WLAN, VPN oder Switches. Bei der Einrichtung spielen unter anderem die Wahl des passenden Servertyps, sichere Authentifizierungsverfahren, saubere Benutzerverwaltung und eine stabile Netzwerkkonfiguration eine wichtige Rolle.

vServer / VPS

VPS unschlagbar günstig auf Dell Enterprise Servern

1 Gbit/s, unbegrenzt Traffic & mehr Cores
Mindestens 99,99% Verfügbarkeit & ISO-zertifizierte Rechenzentren
Ausgezeichneter 24/7 Premium-Support mit persönlichem Berater

Voraussetzungen und Wahl des passenden Servertyps

Ein RADIUS-Server ist ein zentraler Dienst zur Authentifizierung, Autorisierung und Protokollierung von Zugriffen. Als Server-Software können Sie Anwendungen wie FreeRADIUS einsetzen, die Sie auf einem eigenen System konfigurieren. Geräte im Netzwerk wie Access Points oder VPN-Gateways fragen den Server bei jeder Anmeldung an, der dann prüft, ob ein Zugriff erlaubt ist.

Technische Voraussetzungen:

Ein Linux- oder Windows-Server mit fester IP-Adresse
Netzwerkgeräte, die RADIUS unterstützen (z. B. Access Points, Router, Switches)
Zugriff auf Firewall- und Netzwerk-Konfigurationen

Ein RADIUS-Server muss zuverlässig, performant und stabil laufen. Die Wahl des geeigneten Servertyps für das Hosting beeinflusst dabei nicht nur die Leistung, sondern auch Skalierbarkeit, Kosten und Wartungsaufwand. Zu den besten Lösungen zählen VPS und Dedicated-Server:

VPS (Virtual Private Server): Geeignet für kleine bis mittlere Umgebungen wie ein Unternehmens-WLAN, VPN-Zugänge oder Lab-Setups. Ein VPS reicht meist aus, solange keine sehr hohe Authentifizierungsrate oder Hochverfügbarkeit erforderlich ist.
Dedicated Server: Sinnvoll bei vielen gleichzeitigen Anfragen, hohen Sicherheitsanforderungen oder wenn Hochverfügbarkeit und Redundanz geplant sind. Auch bei sensiblen Umgebungen oder regulatorischen Anforderungen ist ein Dedicated Server oft die bessere Wahl.

Schritt-für-Schritt: RADIUS-Server einrichten

Im folgenden Beispiel wird von einer klassischen Linux-Umgebung wie Ubuntu oder Debian ausgegangen. Die grundlegenden Schritte sind bei anderen Systemen ähnlich.

Schritt 1: RADIUS-Server-Software installieren

Im ersten Schritt müssen Sie eine geeignete Server-Software installieren. Diese stellt die eigentliche RADIUS-Funktionalität bereit und verarbeitet später die Anfragen der Netzwerkgeräte. Besonders beliebt ist die weit verbreitete Software FreeRADIUS. Sie unterstützt gängige Authentifizierungsverfahren sowie Anbindungen an Verzeichnisdienste wie LDAP oder Active Directory.

In einer Linux-Umgebung, etwa unter Debian oder Ubuntu, lässt sich FreeRADIUS direkt über die Paketverwaltung installieren:

sudo apt update
sudo apt install freeradius freeradius-utils

bash

Nach der Installation wird der Dienst automatisch eingerichtet und gestartet. Der RADIUS-Server läuft damit bereits im Hintergrund, ist jedoch noch nicht produktiv nutzbar, da die notwendigen Konfigurationen noch fehlen.

Schritt 2: Grundkonfiguration des RADIUS-Servers

Nach der Installation ist der RADIUS-Server zwar gestartet, weiß aber noch nicht, wer sich anmelden darf, von welchen Geräten Anfragen kommen und wie diese geprüft werden sollen. Diese Informationen werden in der Grundkonfiguration festgelegt. Bei FreeRADIUS liegen nahezu alle Einstellungen in Textdateien, die mit einem normalen Editor wie nano, vim oder Notepad++ bearbeitet werden können. Zentrale Punkte, die Sie dort bearbeiten können:

Clients definieren: Netzwerkgeräte, die sich am RADIUS-Server authentifizieren dürfen, werden mit IP-Adresse und Shared Secret eingetragen.
Authentifizierungsarten festlegen: Je nach Einsatzzweck kommen unterschiedliche Verfahren zum Einsatz, etwa einfache Passwortverfahren oder verschlüsselte Methoden für WLAN- oder VPN-Zugänge.
Benutzer oder Verzeichnis anbinden: Zum Start können User lokal auf dem RADIUS-Server angelegt werden, zum Beispiel für Testzwecke. In produktiven Umgebungen wird der Server häufig an ein zentrales Verzeichnis wie LDAP oder Active Directory angebunden.

Schritt 3: Netzwerkgeräte als RADIUS-Clients konfigurieren

Nun werden die Geräte konfiguriert, die den RADIUS-Server nutzen sollen. In der Regel sind das WLAN-Access-Points, Switches oder VPN-Gateways.

Dabei müssen folgende Informationen hinterlegt werden:

IP-Adresse des RADIUS-Servers: Die IP-Adresse gibt an, unter welcher Netzwerkadresse der RADIUS-Server erreichbar ist. Das Netzwerkgerät (z. B. Access Point oder VPN-Gateway) nutzt diese Adresse, um Authentifizierungsanfragen gezielt an den richtigen Server zu senden.
Port: Der Port legt fest, über welchen Netzwerk-Port die Kommunikation mit dem RADIUS-Server erfolgt. Standardmäßig wird für die Authentifizierung UDP-Port 1812 und für das Accounting UDP-Port 1813 genutzt. Alternativ existieren weitere Ports, etwa für Accounting, die je nach Setup ebenfalls konfiguriert werden können.
Shared Secret: Das Shared Secret ist ein gemeinsam hinterlegtes Geheimnis, das sowohl auf dem RADIUS-Server als auch auf dem Netzwerkgerät identisch eingetragen wird. Es dient dazu, die Kommunikation abzusichern und sicherzustellen, dass nur autorisierte Geräte Anfragen an den RADIUS-Server stellen dürfen.

Schritt 4: Funktionstest durchführen

Bevor der Server produktiv genutzt wird, sollte ein Test erfolgen. Typische Tests sind:

Anmeldung mit einem Testbenutzerkonto: So lässt sich feststellen, ob der RADIUS-Server erreichbar ist, die Authentifizierungsdaten korrekt verarbeitet werden und der Zugriff bei gültigen Zugangsdaten erlaubt wird.
Überprüfung der Logs auf Fehler oder Ablehnungen: Dort ist nachvollziehbar, ob die Anfrage vom richtigen Gerät kam, welche Authentifizierungsmethode genutzt wurde und warum eine Anmeldung erlaubt oder abgelehnt wurde.
Test mit fehlerhaften Zugangsdaten: Damit wird geprüft, ob Zugriffe korrekt abgelehnt werden, keine unerwarteten Fehlermeldungen auftreten und das Verhalten den definierten Sicherheitsregeln entspricht.
Test mit verschiedenen Endgeräten oder Authentifizierungsmethoden: So lässt sich sicherstellen, dass der RADIUS-Server nicht nur in einem Einzelfall, sondern im vorgesehenen Szenario zuverlässig arbeitet.

Schritt 5: Produktiver Einsatz und Absicherung

Nach erfolgreichem Test kann der RADIUS-Server produktiv eingesetzt werden. Jetzt sollten zusätzlich folgende Punkte umgesetzt werden:

Firewall-Regeln zur Absicherung: Im produktiven Betrieb sollte der RADIUS-Server nicht frei aus allen Netzen erreichbar sein. Über Firewall-Regeln wird festgelegt, welche Geräte und Netze überhaupt mit dem Server kommunizieren dürfen.
Verschlüsselte Kommunikation: Standard-RADIUS verwendet ein Shared Secret, schützt aber nicht automatisch alle Inhalte der Anmeldung. Bei produktiven Umgebungen sollten daher verschlüsselte Authentifizierungsverfahren eingesetzt werden, etwa EAP-Varianten mit TLS.
Regelmäßige Updates des Systems: Updates schließen bekannte Sicherheitslücken, verbessern die Stabilität und sorgen dafür, dass der Server auch mit aktuellen Clients und Verschlüsselungsverfahren kompatibel bleibt.
Backup der Konfigurationsdateien: Regelmäßige Backups dieser Dateien ermöglichen es, den Server bei einem Ausfall, bestehenden Fehlkonfigurationen oder bei einem Systemwechsel schnell wiederherzustellen.

Was sollte man bei der Einrichtung eines RADIUS-Servers beachten?

Ein RADIUS-Server übernimmt eine zentrale Rolle in der Zugriffskontrolle. Entsprechend wichtig ist es, einige grundlegende Punkte von Anfang an sauber zu planen und umzusetzen.

Klare Authentifizierungs- und Autorisierungsregeln

Legen Sie fest, wer sich anmelden darf und welche Rechte damit verbunden sind. Das kann vom einfachen Zugang zu einem WLAN bis hin zu differenzierten Berechtigungen für verschiedene Nutzergruppen reichen. Je klarer diese Regeln definiert sind, desto leichter lässt sich der Betrieb später kontrollieren und erweitern.

Sicherheit

Die Kommunikation zwischen RADIUS-Server und Netzwerkgeräten sollte abgesichert sein. Verwenden Sie starke Shared Secrets und bevorzugen Sie moderne, verschlüsselte Authentifizierungsverfahren. Regelmäßige Updates des Betriebssystems und der RADIUS-Software sind unerlässlich, um bekannte Sicherheitslücken zu schließen.

Benutzerverwaltung

In kleinen Umgebungen reichen lokale Benutzerkonten oft aus. In größeren Netzwerken lohnt sich die Anbindung an ein zentrales Verzeichnis wie LDAP oder Active Directory. So vermeiden Sie doppelte Pflege und behalten den Überblick, wenn Nutzer hinzukommen oder ausscheiden.

Protokollierung und Auswertung

Protokollierung und Auswertung sollten von Anfang an aktiviert werden. Logdateien zeigen, wer sich wann angemeldet hat und ob es fehlgeschlagene Anmeldeversuche gab. Diese Informationen sind nicht nur für die Fehlersuche hilfreich, sondern auch für Sicherheitsanalysen und mögliche Compliance-Anforderungen.

Verfügbarkeit

Fällt der RADIUS-Server aus, sind oft keine Anmeldungen mehr möglich. Prüfen Sie daher frühzeitig, ob Sie Redundanz benötigen, etwa durch einen zweiten RADIUS-Server oder regelmäßige Backups der Konfiguration. Das erhöht die Ausfallsicherheit und vereinfacht die Wiederherstellung im Notfall.

Passende Produkte

Cloud GPU VM

KI-Wissen für Ihren Erfolg

Unser Newsletter bringt Ihnen die wichtigsten Insights rund um KI – verständlich, praxisnah und auf den Punkt.

RTMP-Server erstellen – Schritt für Schritt zum eigenen Streaming-Server

Gaming, E-Learning, Lifestyle – all diese Themen eignen sich für das Streaming im Internet und können auf Plattformen wie Twitch übertragen werden. Es geht aber auch anders: Mit einem eigenen RTMP-Server behalten Sie die volle Kontrolle über Ihren Stream. Die benötigte Software…

Tutorials

Connect worldshutterstock

HTTP Streaming: So erstellen Sie einen eigenen HLS-Server

Sie wollen selbst zum Streamer werden, möchten Ihre Inhalte aber nicht über die großen Portale wie Twitch oder YouTube anbieten? Dann können Sie einen eigenen Streaming-Server aufsetzen. Dank HTTP Streaming erweitern Sie einen Webserver so, dass Sie Video und Ton in Echtzeit…

Tutorials

Andrey SuslovShutterstock

TeamSpeak-Server erstellen: Voraussetzungen und Anleitung

Die Auswahl an Tools für die Sprachkommunikation im Internet oder im lokalen Netzwerk ist so vielfältig wie nie zuvor. Auch das Urgestein TeamSpeak, das insbesondere mit hervorragender Soundqualität und hohen Sicherheitsstandards punktet, mischt weiterhin mit. Wir verraten Ihnen,…

Tutorials

Imagentleshutterstock

FTP-Server einrichten: Schritt für Schritt zum eigenen FTP-Server

Ein eigener FTP-Server ist insbesondere im Bereich der Webentwicklung sehr nützlich und bietet auch sonst einige Vorteile. Scheint Ihnen die Einrichtung eines solchen Servers auf den ersten Blick etwas kompliziert? Das ist kein Problem: Wir zeigen Ihnen, wie Sie ganz einfach und…

FTP
Tutorials