Sekundäre Authentifizierung
Die sekundäre Authentifizierung wird konfiguriert, um die Zwei-Faktor-Authentifizierung für lokale und Remote-Benutzerkonten zu ermöglichen. Sie können entweder den RADIUS- oder den TACACS+-Authentifizierungsserver als sekundären Authentifizierungsserver konfigurieren. Weitere Informationen finden Sie unter Zwei-Faktor-Authentifizierung.
Hinweis
Stellen Sie sicher, dass Benutzerkonten auf den erforderlichen Authentifizierungsservern erstellt werden. Das Benutzerkontenpasswort ist als zweiter Faktor in der Citrix SD-WAN™ Center-Anmeldesequenz zu verwenden.
Sekundärer RADIUS-Authentifizierungsserver
Um die RADIUS-Authentifizierung zu verwenden, müssen Sie mindestens einen RADIUS-Server angeben und konfigurieren. Optional können Sie redundante Backup-Server konfigurieren, bis zu einem Maximum von drei RADIUS-Servern. Die Server werden sequenziell überprüft, beginnend mit dem Server, der zuerst im Abschnitt Server aufgeführt ist. Stellen Sie sicher, dass die erforderlichen Benutzerkonten auf dem RADIUS-Authentifizierungsserver erstellt werden.
So aktivieren und konfigurieren Sie die RADIUS-Authentifizierung:
-
Navigieren Sie in der Citrix SD-WAN Center-Weboberfläche zu Administration > User/Authentication Settings (Benutzer-/Authentifizierungseinstellungen).
-
Wählen Sie im Abschnitt Secondary Authentication (Sekundäre Authentifizierung) > RADIUS Authentication (RADIUS-Authentifizierung) das Kontrollkästchen Enable Secondary RADIUS Authentication (Sekundäre RADIUS-Authentifizierung aktivieren) aus.
Hinweis
Wenn die TACACS+-Authentifizierung bereits aktiviert ist, wird sie deaktiviert.
-
Geben Sie im Feld Timeout das Zeitintervall (in Sekunden) ein, das auf eine Authentifizierungsantwort vom RADIUS-Server gewartet werden soll.
Der Timeout-Wert sollte kleiner oder gleich 60 Sekunden sein.
-
Geben Sie im Feld Server Key (Serverschlüssel) einen geheimen Schlüssel ein, der beim Herstellen einer Verbindung zu den RADIUS-Servern verwendet werden soll.
-
Geben Sie in den Feldern Confirm Server Key (Serverschlüssel bestätigen) den geheimen Schlüssel erneut ein.
Hinweis
Die Einstellungen für Timeout und Server Key (Serverschlüssel) werden auf alle konfigurierten Server angewendet.
-
Klicken Sie auf das Plus-Symbol (+) neben Servers (Server), um einen RADIUS-Server hinzuzufügen.
-
Geben Sie im Feld IP Address (IP-Adresse) die Host-IP-Adresse für den RADIUS-Server ein.
-
Geben Sie im Feld Port die Portnummer für den RADIUS-Server ein. Die Standard-Portnummer ist 1812.
-
Klicken Sie auf Apply (Anwenden).
-
Klicken Sie auf Verify (Überprüfen), um die Verbindung zum RADIUS-Server zu überprüfen. Das Dialogfeld Verify Secondary RADIUS Server Settings (Einstellungen des sekundären RADIUS-Servers überprüfen) wird angezeigt.
-
Geben Sie einen gültigen Benutzernamen und ein Passwort für die Authentifizierungsserver ein und klicken Sie auf Verify (Überprüfen).
Um weitere Server zu konfigurieren, wiederholen Sie die Schritte 6 bis 11.
Sekundärer TACACS+-Authentifizierungsserver
Um TACACS+ zu verwenden, müssen Sie mindestens einen TACACS+-Server angeben und konfigurieren. Optional können Sie redundante Backup-Server konfigurieren, bis zu einem Maximum von drei TACACS+-Servern. Die Server werden sequenziell überprüft, beginnend mit dem Server, der zuerst im Abschnitt Server aufgeführt ist. Stellen Sie sicher, dass die erforderlichen Benutzerkonten auf dem TACACS+-Authentifizierungsserver erstellt werden.
So aktivieren und konfigurieren Sie die TACACS+-Authentifizierung:
-
Navigieren Sie in der SD-WAN Center-Weboberfläche zu Administration > User/Authentication Settings (Benutzer-/Authentifizierungseinstellungen).
-
Wählen Sie im Abschnitt Secondary Authentication (Sekundäre Authentifizierung) > TACACS+ Authentication (TACACS+-Authentifizierung) das Kontrollkästchen Enable Secondary TACACS+ Authentication (Sekundäre TACACS+-Authentifizierung aktivieren) aus.
Hinweis
Wenn die RADIUS-Authentifizierung bereits aktiviert ist, wird sie deaktiviert.
-
Geben Sie im Feld Timeout das Zeitintervall (in Sekunden) ein, das auf eine Authentifizierungsantwort vom TACACS+-Server gewartet werden soll.
Der Timeout-Wert sollte kleiner oder gleich 60 Sekunden sein.
-
Wählen Sie im Feld Authentication Type (Authentifizierungstyp) die Verschlüsselungsmethode aus, die zum Senden des Benutzernamens und Passworts an den TACACS+-Server verwendet werden soll.
-
Geben Sie im Feld Server Key (Serverschlüssel) einen geheimen Schlüssel ein, der beim Herstellen einer Verbindung zu den TACACS+-Servern verwendet werden soll.
-
Geben Sie in den Feldern Confirm Server Key (Serverschlüssel bestätigen) den geheimen Schlüssel erneut ein.
Hinweis
Die Einstellungen für Timeout, Authentication Type (Authentifizierungstyp) und Server Key (Serverschlüssel) werden auf alle konfigurierten Server angewendet.
-
Klicken Sie auf das Plus-Symbol (+) neben Servers (Server), um einen TACACS+-Server hinzuzufügen.
-
Geben Sie im Feld IP Address (IP-Adresse) die Host-IP-Adresse für den TACACS+-Server ein.
-
Geben Sie im Feld Port die Portnummer für den TACACS+-Server ein. Die Standard-Portnummer ist 49.
-
Klicken Sie auf Apply (Anwenden).
-
Klicken Sie auf Verify (Überprüfen), um die Verbindung zum RADIUS-Server zu überprüfen. Das Dialogfeld Verify TACACS+ Server Settings (Einstellungen des TACACS+-Servers überprüfen) wird angezeigt.
-
Geben Sie einen gültigen Benutzernamen und ein Passwort für die Authentifizierungsserver ein und klicken Sie auf Verify (Überprüfen).
Um weitere Server zu konfigurieren, wiederholen Sie die Schritte 7 bis 12.