Kennwortrückgabe mit RADIUS konfigurieren
Sie können Domain-Kennwörter durch ein Einmalkennwort ersetzen, das ein Token von einem RADIUS-Server generiert. Wenn sich Benutzer bei NetScaler Gateway anmelden, geben sie eine persönliche Identifikationsnummer (PIN) und den Passcode aus dem Token ein. Nachdem NetScaler Gateway seine Anmeldeinformationen überprüft hat, gibt der RADIUS-Server das Windows-Kennwort des Benutzers an NetScaler Gateway zurück. NetScaler Gateway akzeptiert die Antwort vom Server und verwendet dann das zurückgegebene Kennwort für die einmalige Anmeldung, anstatt den Passcode zu verwenden, den Benutzer während der Anmeldung eingegeben haben. Diese Kennwortrückgabe mit der RADIUS-Funktion ermöglicht es Ihnen, Single Sign-On zu konfigurieren, ohne dass Benutzer ihr Windows-Kennwort abrufen müssen.
Wenn sich Benutzer mithilfe der Kennwortrückgabe anmelden, können sie auf alle zulässigen Netzwerkressourcen im internen Netzwerk zugreifen, einschließlich Citrix Endpoint Management, StoreFront und dem Webinterface.
Um das einmalige Anmelden mithilfe von zurückgegebenen Kennwörtern zu aktivieren, konfigurieren Sie eine RADIUS-Authentifizierungsrichtlinie auf NetScaler Gateway mithilfe der Parameter Password Vendor Identifier und Kennwortattributtyp. Diese beiden Parameter geben das Windows-Kennwort des Benutzers an NetScaler Gateway zurück.
NetScaler Gateway unterstützt Imprivata OneSign. Die erforderliche Mindestversion von Imprivata OneSign ist 4.0 mit Service Pack 3. Die standardmäßige Kennwort-Hersteller-ID für Imprivata OneSign ist 398. Der standardmäßige Kennwort-Attribut-Typcode für Imprivata OneSign ist 5.
Sie können andere RADIUS-Server für die Kennwortrückgabe verwenden, z. B. RSA, Cisco oder Microsoft. Konfigurieren Sie den RADIUS-Server so, dass das einmalige Anmeldekennwort des Benutzers in einem herstellerspezifischen Attributwert-Paar zurückgegeben wird. In einer NetScaler Gateway-Authentifizierungsrichtlinie müssen Sie die Parameter Kennwort Vendor Identifier und Kennwortattributtyp für diese Server hinzufügen.
Eine vollständige Liste der Lieferantenkennungen finden Sie auf der Website der Internet Assigned Numbers Authority (IANA). Beispielsweise lautet die Hersteller-ID für RSA-Sicherheit 2197, für Microsoft 311 und für Cisco Systems ist sie 9. Das herstellerspezifische Attribut, das ein Anbieter unterstützt, muss mit dem Anbieter bestätigt werden. Beispielsweise hat Microsoft eine Liste herstellerspezifischer Attribute bei herstellerspezifischen MICROSOFT-RADIUS-Attributenveröffentlicht.
Sie können jedes der herstellerspezifischen Attribute auswählen, um das Single-Sign-On-Kennwort für Benutzer auf dem RADIUS-Server des Anbieters zu speichern. Wenn Sie NetScaler Gateway mit der Hersteller-ID und dem Attribut konfigurieren, in dem das Benutzerkennwort auf dem RADIUS-Server gespeichert ist, fordert NetScaler Gateway den Wert des Attributs im Zugriffsanforderungspaket an, das an den RADIUS-Server gesendet wird. Wenn der RADIUS-Server mit dem entsprechenden Attribut-Wert-Paar im Access-Accept-Paket antwortet, funktioniert die Kennwortrückgabe unabhängig vom verwendeten RADIUS-Server.
So konfigurieren Sie Single Sign-On mithilfe von zurückgegebenen Kennwörtern:
- Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration NetScaler Gateway > Richtlinien\ > Authentifizierung.
- Klicken Sie im Navigationsbereich auf RADIUS.
- Klicken Sie im Detailbereich auf Hinzufügen.
- Geben Sie im Dialogfeld Authentifizierungsrichtlinie erstellen in das Feld Name einen Namen für die Richtlinie ein.
- Klicken Sie neben Server auf Neu.
- Geben Sie unter Name den Namen des Servers ein.
- Konfigurieren Sie die Einstellungen für den RADIUS-Server.
- Geben Sie unter Password Vendor Identifier die Hersteller-ID ein, die vom RADIUS-Server zurückgegeben wird. Dieser Bezeichner muss einen Mindestwert von 1 haben.
- Geben Sie unter Kennwortattributtyp den Attributtyp, der vom RADIUS-Server zurückgegeben wird, im herstellerspezifischen AVP-Code ein. Der Wert kann zwischen 1 und 255 liegen.
- Wählen Sie im Dialogfeld Authentifizierungsrichtlinie erstellen neben Benannte Ausdrücke den Ausdruck aus, klicken Sie auf Ausdruck hinzufügen , klicken Sie auf Erstellen und dann auf Schließen.