Was ist ein 802.1X Supplicant? Client-Typen und Gerätekonfiguration
Dieser Leitfaden erklärt die Rolle des 802.1X Supplicants bei der WiFi-Authentifizierung in Unternehmen. Er behandelt die technische Architektur, vergleicht native OS-Supplicants mit Drittanbieter-Clients und bietet praktische Konfigurationsanleitungen für IT-Teams, die EAP-TLS und PEAP bereitstellen.
Diesen Leitfaden anhören
Podcast-Transkript ansehen
- Management-Zusammenfassung
- Tiefer technischer Einblick
- Die drei Komponenten von 802.1X
- EAP-Methoden: Die Sprache des Supplicants
- Implementierungsleitfaden
- Native OS-Supplicants
- Supplicant-Software von Drittanbietern
- Konfiguration der Server-Zertifikatsvalidierung
- Best Practices
- Fehlerbehebung und Risikominderung
- ROI und geschäftlicher Nutzen

Management-Zusammenfassung
Wenn sich ein Gerät mit einem Unternehmensnetzwerk verbindet, ist der 802.1X-Supplicant die Softwarekomponente, die für den Identitätsnachweis verantwortlich ist. Für IT-Manager und Netzwerkarchitekten an großen Veranstaltungsorten ist das Verständnis der Funktionsweise des Supplicants von entscheidender Bedeutung, um den Netzwerkzugriff zu sichern, ohne Helpdesk-Tickets zu generieren. Dieser Leitfaden entmystifiziert den geräteseitigen Agenten bei der IEEE 802.1X-Authentifizierung und stellt native Betriebssystemfunktionen der Supplicant-Software von Drittanbietern gegenüber. Wir untersuchen, wie Supplicants für EAP-TLS und PEAP-MSCHAPv2 konfiguriert werden, betrachten reale Bereitstellungsszenarien in der Hotellerie und im Einzelhandel und beschreiben im Detail, wie sich eine korrekte Supplicant-Konfiguration in identitätsbasierte Netzwerke integrieren lässt, um den Zugriff zu optimieren. Unabhängig davon, ob Sie ein Hotel mit 200 Zimmern oder einen aktiven Veranstaltungsort mit über 80.000 Sitzplätzen verwalten - eine korrekte Supplicant-Konfiguration ist ein Eckpfeiler für den Aufbau eines sicheren und zuverlässigen WiFi.
Tiefer technischer Einblick
Der Standard IEEE 802.1X definiert die portbasierte Netzwerkzugriffskontrolle. Er arbeitet nach einer einfachen Prämisse: Blockieren Sie den gesamten Datenverkehr am Netzwerkrand, bis ein Gerät seine Identität nachweist. Der Supplicant ist der clientseitige Teilnehmer an diesem Prozess.
Die drei Komponenten von 802.1X
Die Authentifizierung erfordert drei verschiedene Einheiten:
- Supplicant: Das Client-Gerät (Laptop, Smartphone oder Tablet), das den Netzwerkzugriff anfordert.
- Authenticator: Das Netzwerkzugriffsgerät, z. B. ein Cisco Meraki, HPE Aruba, Ruckus oder Juniper Mist Access Point.
- Authentication Server: Der RADIUS-Server, der die Anmeldedaten mit einem Identitätsanbieter wie Microsoft Entra ID oder Okta abgleicht.
Vor der Authentifizierung befindet sich der Port des Authenticators in einem nicht autorisierten Zustand und lässt nur EAPOL-Verkehr (Extensible Authentication Protocol over LAN) zu. Der Supplicant initiiert den Prozess mit einem EAPOL-Start-Frame. Der Authenticator fordert die Identität an, und der Supplicant antwortet. Diese Identität wird an den RADIUS-Server weitergeleitet, der die zu verwendende EAP-Methode bestimmt. Nach erfolgreicher Validierung sendet der RADIUS-Server eine Access-Accept-Nachricht, der Port wechselt in einen autorisierten Zustand und das Gerät wird in der Regel einem bestimmten VLAN zugewiesen.

EAP-Methoden: Die Sprache des Supplicants
Der Supplicant und der RADIUS-Server müssen sich auf eine EAP-Methode (Extensible Authentication Protocol) einigen. Die Wahl der EAP-Methode bestimmt das Sicherheitsniveau und den Konfigurationsaufwand für den Supplicant.
EAP-TLS (Transport Layer Security) EAP-TLS erfordert eine zertifikatsbasierte gegenseitige Authentifizierung. Der Supplicant stellt ein Client-Zertifikat bereit, um seine Identität nachzuweisen, und der RADIUS-Server stellt ein Server-Zertifikat bereit, um die Legitimität des Netzwerks nachzuweisen. Diese passwortlose Methode eliminiert den Diebstahl von Anmeldedaten und wird von strengen Sicherheits-Frameworks wie NIST SP 800-171 gefordert. Der Supplicant muss so konfiguriert sein, dass er der ausstellenden Zertifizierungsstelle (CA) vertraut und ein gültiges Client-Zertifikat besitzt.
PEAP (Protected EAP) In Szenarien, in denen eine vollständige Public-Key-Infrastruktur (PKI) nicht machbar ist, wird PEAP weit verbreitet eingesetzt. Es kapselt eine interne Authentifizierungsmethode (normalerweise MSCHAPv2) in einem sicheren TLS-Tunnel. Der RADIUS-Server stellt ein Zertifikat bereit, aber der Supplicant muss lediglich einen Benutzernamen und ein Passwort angeben. Während PEAP einfacher bereitzustellen ist, ist es hochentfindlich gegenüber dem Abfangen von Anmeldedaten, wenn der Supplicant nicht streng dafür konfiguriert ist, das Server-Zertifikat zu validieren.
Implementierungsleitfaden
Bei der Bereitstellung von 802.1X müssen IT-Teams entscheiden, ob sie den im Betriebssystem integrierten nativen Supplicant verwenden oder Supplicant-Software von Drittanbietern bereitstellen.
Native OS-Supplicants
Jedes moderne Betriebssystem enthält einen nativen 802.1X-Supplicant. Windows nutzt die Dienste Automatische Verkabelte Konfiguration und Automatische WLAN-Konfiguration. Apple-Geräte nutzen Netzwerkprofile. Android integriert dies in seine WiFi-Einstellungen.
Native Supplicants sind ideal für verwaltete Geräteflotten. Mithilfe von Mobile-Device-Management-Plattformen (MDM) wie Microsoft Intune oder Jamf können IT-Administratoren Konfigurationsprofile im Hintergrund bereitstellen, welche die SSID, die EAP-Methode, vertrauenswürdige Root-CAs und Zertifikatsregistrierungsprozesse über SCEP definieren. Das Benutzererlebnis ist nahtlos; das Gerät authentifiziert sich im Hintergrund.
Supplicant-Software von Drittanbietern
Supplicants von Drittanbietern, wie Cisco AnyConnect Network Access Manager oder SecureW2 JoinNow, sind in bestimmten Szenarien erforderlich:
- Proprietäre Protokolle: Die Verwendung von Cisco EAP-FAST erfordert einen Cisco-Supplicant.
- BYOD-Onboarding: Drittanbieter-Tools fungieren oft als Onboarding-Assistenten und führen Benutzer durch die Installation von Zertifikaten auf unverwalteten Geräten, bei denen die native Konfiguration komplex ist (insbesondere in fragmentierten Android-Umgebungen).
- Strenge Konfigurationskontrolle: Supplicants von Drittanbietern können Einstellungen sperren, um zu verhindern, dass Benutzer die Validierung von Server-Zertifikaten deaktivieren.

Konfiguration der Server-Zertifikatsvalidierung
Unabhängig vom gewählten Supplicant ist die Konfiguration der Server-Zertifikatsvalidierung von entscheidender Bedeutung, insbesondere bei PEAP. Wenn der Supplicant das Zertifikat des RADIUS-Servers nicht validiert, sendet er Anmeldedaten blind an einen gefälschten Access Point, der Ihre SSID imitiert.
In Windows bedeutet dies, dass in den PEAP-Eigenschaften die Option "Identität des Servers durch Überprüfen des Zertifikats zertifizieren" aktiviert, die vertrauenswürdige Stammzertifizierungsstelle (Root CA) ausgewählt und die genauen Servernamen angegeben werden müssen, die der Client erwarten soll. Auf Apple-Geräten muss das Konfigurationsprofil die vertrauenswürdigen Zertifikate explizit auflisten.
Best Practices
- Server-Validierung erzwingen: Implementieren Sie PEAP niemals, ohne die Supplicants so zu konfigurieren, dass sie das Zertifikat des RADIUS-Servers validieren. Dies ist die wichtigste Verteidigungslinie gegen "Evil Twin"-Angriffe.
- Zertifikats-Lebenszyklus automatisieren: Wenn Sie EAP-TLS verwenden, automatisieren Sie die Registrierung und Erneuerung von Client-Zertifikaten über ein MDM mithilfe von SCEP oder NDES. Manuelle Zertifikatsverwaltung ist nicht skalierbar und führt zu plötzlichen Authentifizierungsfehlern.
- Nach Identität segmentieren: Verwenden Sie RADIUS-Attribute, um VLANs basierend auf der validierten Identität zuzuweisen. Mitarbeitergeräte und POS-Terminals sollten sich am selben SSID authentifizieren, aber in völlig unterschiedlichen VLANs landen.
- Planung für IoT: Die meisten IoT-Geräte verfügen über keine 802.1X-Supplicants. Verwenden Sie für diese Geräte MAC Address Bypass (MAB), aber stellen Sie sicher, dass sie in einem dedizierten IoT-VLAN streng isoliert sind.
Fehlerbehebung und Risikominderung
Wenn die Verbindung eines Geräts fehlschlägt, liegt das Problem fast immer in der Client-Konfiguration oder der Zertifikatskette.
- "Verbunden, kein Internet": Dies deutet in der Regel auf einen Fehler bei der VLAN-Zuweisung oder auf DHCP-Probleme nach der Authentifizierung hin. Überprüfen Sie die RADIUS-Protokolle, um sicherzustellen, dass die Access-Accept-Nachricht die korrekte Tunnel-Private-Group-Id enthält.
- Lautlose Fehler unter Windows 11: Jüngste Funktionsupdates für Windows 11 (wie 24H2) haben die Art und Weise geändert, wie der native Supplicant mit dem EAP-TLS-Fallback umgeht. Testen Sie Profile vor einer flächendeckenden Bereitstellung immer mit neuen OS-Builds.
- Ablauf von Zertifikaten: Wenn eine Reihe von Geräten plötzlich offline geht, überprüfen Sie die Gültigkeitsdauer der Client-Zertifikate. Stellen Sie sicher, dass Ihr MDM diese erfolgreich erneuert, bevor sie ablaufen.
ROI und geschäftlicher Nutzen
Die Migration zu 802.1X mit korrekt konfigurierten Supplicants liefert messbaren geschäftlichen Mehrwert. Durch den Verzicht auf gemeinsam genutzte Passwörter (Pre-Shared Keys/PSK) entfällt der administrative Aufwand für den Austausch von Passwörtern beim Ausscheiden von Mitarbeitern vollständig. Der Wechsel zu EAP-TLS kann Ticketanfragen zur Passwortzurücksetzung komplett überflüssig machen, was erhebliche Produktivitätszeiten im Service Desk freisetzt.
Darüber hinaus ermöglicht 802.1X eine identitätsbasierte Netzwerkisolierung auf einer einzigen SSID. Anstatt separate Netzwerke für Guest WiFi , Personal und Betrieb auszustrahlen, kann eine einzige SSID den Datenverkehr basierend auf den Client-Anmeldedaten sicher weiterleiten. Dies reduziert Kanalinterferenzen und verbessert die allgemeine Netzwerkleistung, was den Cloud-Overlay-Ansatz von Purple für eine hardwareunabhängige Netzwerkverwaltung direkt unterstützt. Für tiefere analytische Einblicke entdecken Sie unsere Funktion WiFi Analytics .
Schlüsseldefinitionen
802.1X Supplicant
Die Softwarekomponente auf einem Client-Gerät, die den Authentifizierungsprozess abwickelt, der für den Beitritt zu einem durch IEEE 802.1X geschützten Netzwerk erforderlich ist.
IT-Teams konfigurieren den Supplicant, um festzulegen, wie sich ein Gerät gegenüber dem Netzwerk identifiziert.
Authenticator
Das Netzwerkgerät (Switch oder Access Point), das den Datenverkehr blockiert, bis sich der Supplicant erfolgreich authentifiziert hat.
Hardware von Herstellern wie Cisco Meraki oder HPE Aruba fungiert als Authenticator und leitet Nachrichten zwischen dem Gerät und dem Server weiter.
RADIUS
Remote Authentication Dial-In User Service. Der Server, der die vom Supplicant bereitgestellten Zugangsdaten überprüft.
Der RADIUS-Server gleicht die Identität mit Verzeichnissen wie Okta oder Microsoft Entra ID ab, bevor er Zugriff gewährt.
EAP-TLS
Extensible Authentication Protocol mit Transport Layer Security. Eine Authentifizierungsmethode, die digitale Zertifikate sowohl vom Client als auch vom Server erfordert.
Gilt als die sicherste Methode für Unternehmensnetzwerke, da sie Passwörter überflüssig macht.
PEAP
Protected Extensible Authentication Protocol. Eine Authentifizierungsmethode, die einen sicheren TLS-Tunnel aufbaut, um die passwortbasierte Authentifizierung zu schützen.
Wird häufig in BYOD-Umgebungen eingesetzt, in denen die Bereitstellung von Client-Zertifikaten auf nicht verwalteten Geräten zu komplex ist.
EAPOL
Extensible Authentication Protocol over LAN. Das Protokoll, das zur Kapselung von EAP-Nachrichten zwischen dem Supplicant und dem Authenticator verwendet wird.
Vor der Authentifizierung ist EAPOL der einzige Datenverkehrstyp, den der Authenticator durch den Port zulässt.
MAC Authentication Bypass (MAB)
Eine Fallback-Authentifizierungsmethode, bei der das Netzwerk die MAC-Adresse des Geräts als dessen Identität verwendet.
Verwendet für Drucker, Kameras und IoT-Geräte, die keinen 802.1X-Supplicant besitzen.
VLAN-Zuweisung
Der Prozess der dynamischen Zuweisung eines authentifizierten Geräts zu einem bestimmten virtuellen Netzwerksegment.
Der RADIUS-Server teilt dem Authenticator basierend auf der Identität des Supplicants mit, welches VLAN zugewiesen werden soll.
Ausgearbeitete Beispiele
Ein Hotel mit 200 Zimmern muss sein Mitarbeiternetzwerk absichern. Bisher wird WPA2-Personal mit einem gemeinsamen Passwort verwendet, nun soll auf 802.1X umgestellt werden. Die Mitarbeiter nutzen eine Mischung aus unternehmenseigenen Windows-Laptops und persönlichen Android-Telefonen für die Dienstplanung. Wie sollten die Supplicants konfiguriert werden?
Das Hotel sollte einen hybriden Ansatz wählen. Für die Windows-Laptops des Unternehmens sollte der native Windows-Supplicant verwendet werden, der über Microsoft Intune konfiguriert wird. Das MDM-Profil sollte die EAP-TLS-Einstellungen übertragen, die Root CA installieren und die Client-Zertifikatsregistrierung über SCEP automatisieren. Für die persönlichen Android-Telefone sollte ein Onboarding-Agent eines Drittanbieters (wie SecureW2) über ein Self-Service-Portal bereitgestellt werden. Der Mitarbeiter meldet sich mit seinen Microsoft Entra ID-Zugangsdaten im Portal an, und der Agent konfiguriert automatisch den nativen Android-Supplicant für PEAP-MSCHAPv2, wodurch sichergestellt wird, dass die Serverzertifikatsvalidierung fest verankert ist.
Eine große Einzelhandelskette mit 50 Filialen führt neue mobile Point-of-Sale (POS)-Tablets ein. PCI-DSS erfordert eine strikte Netzwerktrennung. Wie sollte die Supplicant-Konfiguration die Compliance gewährleisten?
Die Tablets sollten über ein MDM verwaltet werden. Das MDM pusht ein Konfigurationsprofil für den nativen Supplicant, das EAP-TLS erzwingt. Jedes Tablet erhält ein eindeutiges Client-Zertifikat mit einem Attribut, das es als POS-Gerät identifiziert. Wenn sich der Supplicant des Tablets authentifiziert, liest der RADIUS-Server dieses Attribut aus und weist ein VLAN speziell für das PCI-konforme Netzwerksegment zu. Die Supplicant-Konfiguration muss gesperrt sein, damit die Filialmitarbeiter die Netzwerkeinstellungen nicht ändern können.
Übungsfragen
Q1. Ihre Organisation stellt PEAP-MSCHAPv2 für ein neues BYOD-Netzwerk für Mitarbeiter bereit. Beim Testen stellen Sie fest, dass sich Geräte mit einem Test-Access-Point verbinden können, der dieselbe SSID ausstrahlt, obwohl er nicht mit Ihrem RADIUS-Server verbunden ist. Welcher Konfigurationsschritt für den Supplicant wurde vergessen?
Hinweis: Überlegen Sie, wie der Supplicant die Identität des Netzwerks überprüft, bevor er die MSCHAPv2-Anmeldedaten sendet.
Musterlösung anzeigen
Der Supplicant wurde nicht so konfiguriert, dass er das Serverzertifikat validiert. Bei PEAP muss der Supplicant explizit so konfiguriert werden, dass er der spezifischen Root-CA vertraut, die das Zertifikat des RADIUS-Servers ausgestellt hat, und dass er den Domänennamen des Servers überprüft. Ohne dies baut der Supplicant einen TLS-Tunnel zu jedem Server auf, der ein Zertifikat vorlegt, was die Anmeldedaten des Benutzers für einen Rogue-Access-Point offenlegt.
Q2. Eine Universität migriert ihre verwaltete Windows-Laptop-Flotte von PEAP zu EAP-TLS. Sie verteilen das neue Konfigurationsprofil über MDM, aber bei allen Geräten schlägt die Authentifizierung fehl. Die RADIUS-Protokolle zeigen "EAP-TLS failed SSL/TLS handshake". Was ist die wahrscheinlichste Ursache?
Hinweis: EAP-TLS erfordert eine gegenseitige Authentifizierung. Was benötigt der Client, das er für PEAP nicht brauchte?
Musterlösung anzeigen
Den Client-Geräten fehlt ein gültiges Client-Zertifikat. EAP-TLS erfordert, dass der Supplicant dem RADIUS-Server ein Zertifikat vorlegt. Das MDM-Profil muss nicht nur so konfiguriert sein, dass es die EAP-Methode auf TLS festlegt, sondern auch ein Protokoll wie SCEP auslöst, um ein Client-Zertifikat von der PKI der Organisation anzufordern und zu installieren, bevor ein Authentifizierungsversuch unternommen wird.
Q3. Sie müssen 50 Smart-TVs in einer [Healthcare](/industries/healthcare)-Umgebung mit dem Netzwerk verbinden. Die TVs unterstützen nur WPA2-Personal (Pre-Shared Key) und haben keinen 802.1X-Supplicant. Wie sichern Sie deren Zugriff, während Sie gleichzeitig 802.1X für Mitarbeitergeräte beibehalten?
Hinweis: Wenn das Gerät kein EAP spricht, muss der Authenticator es auf andere Weise identifizieren.
Musterlösung anzeigen
Sie sollten MAC Authentication Bypass (MAB) verwenden. Der Authenticator verwendet die MAC-Adresse des Smart-TVs als Benutzernamen und Passwort, die an den RADIUS-Server gesendet werden. Da MAC-Adressen gefälscht werden können, muss der RADIUS-Server so konfiguriert werden, dass er diese Geräte einem stark eingeschränkten, isolierten IoT-VLAN zuweist, das nur den notwendigen Datenverkehr zulässt.
Weiterlesen in dieser Reihe
Konfigurieren von RADIUS-Authentifizierung für Gäste- und Mitarbeiter-WiFi-Netzwerke
Dieses technische Referenzhandbuch beschreibt die Architektur, Konfiguration und Bereitstellung der RADIUS-Authentifizierung für WiFi-Netzwerke von Unternehmen für Gäste und Mitarbeiter. Es bietet Netzwerkarchitekten und IT-Managern die genauen Protokolle, Sicherheitsstandards und Fehlerbehebungsmethoden, die für den Aufbau sicherer, skalierbarer drahtloser Zugriffskontrollsysteme erforderlich sind.
Passpoint und OpenRoaming: Das vollständige Handbuch
Dieses technische Referenzhandbuch bietet eine umfassende Analyse der Passpoint (Hotspot 2.0) und WBA OpenRoaming Frameworks in Enterprise WiFi Netzwerken. Es beschreibt detailliert die zugrundeliegenden Authentifizierungsprotokolle, Architekturkomponenten und Bereitstellungsstrategien, die für den Aufbau einer sicheren, reibungslosen Gastkonnektivität erforderlich sind. Netzwerkarchitekten und IT-Leiter erfahren, wie sie diese Standards entwerfen, implementieren und Fehler beheben, um manuelle Anmeldebarrieren zu beseitigen und gleichzeitig die Sicherheit auf Enterprise-Niveau aufrechtzuerhalten.
Implementierung von SCEP für sichere BYOD- und Netzwerkanmeldung im Hochschulbereich
Dieser technische Leitfaden bietet Netzwerkarchitekten und IT-Managern ein herstellerunabhängiges Konzept für die Bereitstellung von SCEP-basierten Zertifikatsanmeldungen zur Sicherung von Campusnetzwerken an Hochschulen. Er beschreibt im Detail die Migration von passwortbasiertem PEAP zu 802.1X EAP-TLS, die Automatisierung des BYOD-Onboardings und die Durchsetzung einer robusten VLAN-Segmentierung.