RADIUS-Authentifizierung
Wie bei anderen Arten von Authentifizierungsrichtlinien besteht eine RADIUS-Authentifizierungsrichtlinie (Remote Authentication Dial In User Service) aus einem Ausdruck und einer Aktion. Nachdem Sie eine Authentifizierungsrichtlinie erstellt haben, binden Sie sie an einen virtuellen Authentifizierungsserver und weisen ihm eine Priorität zu. Wenn Sie es binden, bezeichnen Sie es auch als primäre oder sekundäre Richtlinie. Für die Einrichtung einer RADIUS-Authentifizierungsrichtlinie gelten jedoch bestimmte spezielle Anforderungen, die im Folgenden beschrieben werden.
Normalerweise konfigurieren Sie den NetScaler so, dass er die IP-Adresse des Authentifizierungsservers während der Authentifizierung verwendet. Mit RADIUS-Authentifizierungsservern können Sie den ADC jetzt so konfigurieren, dass er den FQDN des RADIUS-Servers anstelle seiner IP-Adresse verwendet, um Benutzer zu authentifizieren. Die Verwendung eines FQDN kann eine ansonsten viel komplexere Authentifizierungs-, Autorisierungs- und Überwachungskonfiguration in Umgebungen vereinfachen, in denen sich der Authentifizierungsserver möglicherweise an einer von mehreren IP-Adressen befindet, aber immer einen einzigen FQDN verwendet. Um die Authentifizierung mithilfe des FQDN eines Servers anstelle seiner IP-Adresse zu konfigurieren, folgen Sie dem normalen Konfigurationsprozess, außer wenn Sie die Authentifizierungsaktion erstellen. Beim Erstellen der Aktion ersetzen Sie den serverName-Parameter durch den serverIP-Parameter.
Bevor Sie entscheiden, ob Sie den NetScaler so konfigurieren, dass er die IP oder den FQDN Ihres RADIUS-Servers zur Authentifizierung von Benutzern verwendet, sollten Sie bedenken, dass die Konfiguration von Authentifizierung, Autorisierung und Überwachung für die Authentifizierung an einem FQDN statt an einer IP-Adresse dem Authentifizierungsprozess einen zusätzlichen Schritt hinzufügt. Jedes Mal, wenn der ADC einen Benutzer authentifiziert, muss er den FQDN auflösen. Wenn sehr viele Benutzer versuchen, sich gleichzeitig zu authentifizieren, verlangsamen die daraus resultierenden DNS-Lookups möglicherweise den Authentifizierungsprozess.
Hinweis
Bei diesen Anweisungen wird davon ausgegangen, dass Sie bereits mit dem RADIUS-Protokoll vertraut sind und Ihren ausgewählten RADIUS-Authentifizierungsserver bereits konfiguriert haben.
So fügen Sie mithilfe der Befehlszeilenschnittstelle eine Authentifizierungsaktion für einen RADIUS-Server hinzu
Wenn Sie sich bei einem RADIUS-Server authentifizieren, müssen Sie eine explizite Authentifizierungsaktion hinzufügen. Geben Sie dazu an der Befehlszeile den folgenden Befehl ein:
add authentication radiusAction <name> [-serverip <IP> | -serverName] <FQDN>][-serverPort <port>] [-authTimeout <positive_integer>] {-radKey } [-radNASip ( ENABLED | DISABLED )][-radNASid <string>] [-radVendorID <positive_integer>][-radAttributeType <positive_integer>][-radGroupsPrefix <string>] [-radGroupSeparator <string>][-passEncoding <passEncoding>][-ipVendorID <positive_integer>] [-ipAttributeType <positive_integer>][-accounting ( ON | OFF )][-pwdVendorID <positive_integer> [-pwdAttributeType <positive_integer>]] [-defaultAuthenticationGroup <string>] [-callingstationid ( ENABLED | DISABLED )]
<!--NeedCopy-->
Im folgenden Beispiel wird eine RADIUS-Authentifizierungsaktion namens Authn-Act-1 mit der Server-IP 10.218.24.65, dem Server-Port 1812, dem Authentifizierungs-Timeout von 15 Minuten, dem Radius-Schlüssel WareTheLorax, NAS-IP deaktiviert und NAS-ID NAS1 hinzugefügt.
add authentication radiusaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1
Done
<!--NeedCopy-->
Das folgende Beispiel fügt dieselbe RADIUS-Authentifizierungsaktion hinzu, verwendet jedoch den Server-FQDN rad01.example.com anstelle der IP.
add authentication radiusaction Authn-Act-1 -serverName rad01.example.com -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1
Done
<!--NeedCopy-->
So konfigurieren Sie eine Authentifizierungsaktion für einen externen RADIUS-Server mithilfe der Befehlszeile
Um eine vorhandene RADIUS-Aktion zu konfigurieren, geben Sie an der Befehlszeile den folgenden Befehl ein:
set authentication radiusAction <name> [-serverip <IP> | -serverName] <FQDN>][-serverPort <port>] [-authTimeout <positive_integer>] {-radKey } [-radNASip ( ENABLED | DISABLED )][-radNASid <string>] [-radVendorID <positive_integer>][-radAttributeType <positive_integer>][-radGroupsPrefix <string>] [-radGroupSeparator <string>][-passEncoding <passEncoding>][-ipVendorID <positive_integer>] [-ipAttributeType <positive_integer>][-accounting ( ON | OFF )][-pwdVendorID <positive_integer> [-pwdAttributeType <positive_integer>]] [-defaultAuthenticationGroup <string>] [-callingstationid ( ENABLED | DISABLED )]
<!--NeedCopy-->
So entfernen Sie eine Authentifizierungsaktion für einen externen RADIUS-Server mithilfe der Befehlszeilenschnittstelle
Um eine vorhandene RADIUS-Aktion zu entfernen, geben Sie an der Eingabeaufforderung den folgenden Befehl ein:
rm authentication radiusAction <name>
<!--NeedCopy-->
Beispiel
rm authentication radiusaction Authn-Act-1
Done
<!--NeedCopy-->
So konfigurieren Sie einen RADIUS-Server mithilfe des Konfigurationsprogramms
Hinweis
Im Konfigurationsdienstprogramm wird der Begriff Server anstelle von Aktion verwendet, bezieht sich jedoch auf dieselbe Aufgabe.
- Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Richtlinien > Authentifizierung > Radius
-
Führen Sie im Detailbereich auf der Registerkarte Server einen der folgenden Schritte aus:
- Um einen neuen RADIUS-Server zu erstellen, klicken Sie auf Hinzufügen.
- Um einen vorhandenen RADIUS-Server zu ändern, wählen Sie den Server aus, und klicken Sie dann auf Bearbeiten.
-
Geben Sie im Dialogfeld „RADIUS-Authentifizierungsserver erstellen “ oder „ Authentifizierungs-RADIUS-Server konfigurieren “ Werte für die Parameter ein, oder wählen Sie sie aus. Um Parameter auszufüllen, die unter “ Anrufstation-ID senden” angezeigt werden, erweitern Sie Details.
- name* — RadiusActionName (Kann für eine zuvor konfigurierte Aktion nicht geändert werden)
- Authentifizierungstyp* — AuthType (Auf RADIUS gesetzt, kann nicht geändert werden)
-
Servername/IP-Adresse* — Wählen Sie entweder Servername oder Server-IP
- Servername*—serverName <FQDN>
- IP-Adresse *—ServerIP <IP> Wenn dem Server eine IPv6-IP-Adresse zugewiesen ist, aktivieren Sie das Kontrollkästchen IPv6.
- Port* — Serverport
- Timeout (Sekunden) * — AuthTimeout
- Geheimer Schlüssel* — RadKey (gemeinsam genutzter RADIUS-Schlüssel.)
- Bestätigen Sie den geheimen Schlüssel* — Geben Sie den gemeinsam genutzten RADIUS-Schlüssel ein zweites Mal ein. (Kein Befehlszeilenäquivalent.)
- Rufstationsnummer senden—CallingStationID
- Gruppen-Anbieter-ID — RadVendorID
- Gruppenattributtyp — RadAttributeType
- Anbieter-Identifier für die IP-Adresse — IPVendorID
- PWD-Verkäufer-ID — PWD-Verkäufer-ID
- Passwortkodierung — PassenCoding
- Standardauthentifizierungsgruppe — Standardauthentifizierungsgruppe
- NAS-ID — RAD-NASID
- NAS-IP-Adressextraktion aktivieren—Radnasip
- Gruppenpräfix — RadGroupsPrefix
- Gruppentrennzeichen — RadGroupSeparator
- IP-Adressattributtyp — IPAttributeType
- Kennwortattributtyp — pwdAttributeType
- Buchhaltung — Buchhaltung
- Klicken Sie auf Erstellen oder auf OK. Die von Ihnen erstellte Richtlinie wird auf der Seite Server angezeigt.
Unterstützung für die Weitergabe des RADIUS-Attributs 66 (Tunnel-Client-Endpoint)
Die NetScaler-Appliance ermöglicht jetzt die Weitergabe des RADIUS-Attributs 66 (Tunnel-Client-Endpoint) während der RADIUS-Authentifizierung. Durch die Anwendung dieser Funktion wird die IP-Adresse des Clients im Rahmen einer zweiten Faktorauthentifizierung empfangen, indem sie ihnen anvertraut wird, risikobasierte Authentifizierungsentscheidungen zu treffen.
Das neue Attribut „TunnelEndPointClientIp“ wurde sowohl in den Befehlen „add authentication radiusAction“ als auch in „set radiusParams“ eingeführt.
Um diese Funktion zu verwenden, geben Sie an der Befehlszeile der NetScaler Appliance Folgendes ein:
add authentication radiusAction <name> {-serverIP <ip_addr|ipv6_addr|*> | {-serverName <string>}} [-serverPort <port>] … [-tunnelEndpointClientIP (ENABLED|DISABLED)]
set radiusParams {-serverIP <ip_addr|ipv6_addr|*> |{-serverName <string>}} [-serverPort<port>] … [-tunnelEndpointClientIP(ENABLED|DISABLED)]
<!--NeedCopy-->
Beispiel
add authentication radiusAction radius -severIP 1.217.22.20 -serverName FQDN -serverPort 1812 -tunnelEndpointClientIp ENABLED
set radiusParams -serverIp 1.217.22.20 -serverName FQDN1 -serverPort 1812 -tunnelEndpointClientIP ENABLED
<!--NeedCopy-->
Unterstützung für die Validierung der End-to-End-RADIUS-Authentifizierung
Die NetScaler Appliance kann jetzt die End-to-End-RADIUS-Authentifizierung über eine GUI überprüfen. Um diese Funktion zu validieren, wird eine neue Schaltfläche “Test” in GUI eingeführt. Ein NetScaler Appliance-Administrator kann diese Funktion nutzen, um folgende Vorteile zu erzielen:
- Konsolidiert den vollständigen Ablauf (Paket-Engine - aaa Daemon - externer Server), um eine bessere Analyse zu ermöglichen
- Verkürzt die Zeit bei der Überprüfung und Behebung von Problemen im Zusammenhang mit einzelnen Szenarien
Sie haben zwei Möglichkeiten, die Testergebnisse der RADIUS-Ende-zu-Ende-Authentifizierung mithilfe der GUI zu konfigurieren und anzuzeigen.
Von der Systemoption
- Navigieren Sie zu System > Authentifizierung > Grundrichtlinien > RADIUS und klicken Sie auf die Registerkarte Server .
- Wählen Sie die verfügbare RADIUS-Aktion aus der Liste aus.
- Auf der Seite „ RADIUS-Authentifizierungsserver konfigurieren “ haben Sie im Abschnitt Verbindungseinstellungen zwei Optionen.
- Um die RADIUS-Serververbindung zu überprüfen, klicken Sie auf die Registerkarte RADIUS-Erreichbarkeit testen .
- Um die durchgängige RADIUS-Authentifizierung anzuzeigen, klicken Sie auf den Link Endbenutzerverbindung testen .
Von der Authentifizierungsoption
- Navigieren Sie zu Authentifizierung > Dashboardund wählen Sie die verfügbare RADIUS-Aktion aus der Liste aus.
- Auf der Seite „ RADIUS-Authentifizierungsserver konfigurieren “ haben Sie im Abschnitt Verbindungseinstellungen zwei Optionen.
- Um die RADIUS-Serververbindung zu überprüfen, klicken Sie auf die Registerkarte RADIUS-Erreichbarkeit testen .
- Um den End-to-End-RADIUS-Authentifizierungsstatus anzuzeigen, klicken Sie auf Endbenutzerverbindung testen .
In diesem Artikel
- So fügen Sie mithilfe der Befehlszeilenschnittstelle eine Authentifizierungsaktion für einen RADIUS-Server hinzu
- So konfigurieren Sie eine Authentifizierungsaktion für einen externen RADIUS-Server mithilfe der Befehlszeile
- So entfernen Sie eine Authentifizierungsaktion für einen externen RADIUS-Server mithilfe der Befehlszeilenschnittstelle
- So konfigurieren Sie einen RADIUS-Server mithilfe des Konfigurationsprogramms
- Unterstützung für die Weitergabe des RADIUS-Attributs 66 (Tunnel-Client-Endpoint)
- Unterstützung für die Validierung der End-to-End-RADIUS-Authentifizierung