Gateway

RADIUS-Gruppen-Extraktion konfigurieren

Sie können die RADIUS-Autorisierung mithilfe einer Methode namens Gruppenextraktion konfigurieren. Durch die Konfiguration der Gruppenextraktion können Sie Benutzer auf Ihrem RADIUS-Server verwalten, anstatt sie zu NetScaler Gateway hinzuzufügen.

Sie konfigurieren die RADIUS-Autorisierung mithilfe einer Authentifizierungsrichtlinie und Konfigurieren der Gruppen-Hersteller-ID (ID), des Gruppenattributtyps, des Gruppenpräfix und eines Gruppentrennzeichens. Wenn Sie die Richtlinie konfigurieren, fügen Sie einen Ausdruck hinzu und binden die Richtlinie dann entweder global oder an einen virtuellen Server.

Konfigurieren von RADIUS auf Windows Server 2003

Wenn Sie Microsoft Internet Authentication Service (IAS) für die RADIUS-Autorisierung auf Windows Server 2003 verwenden, müssen Sie während der Konfiguration von NetScaler Gateway die folgenden Informationen angeben:

  • Die Lieferanten-ID ist der herstellerspezifische Code, den Sie in IAS eingegeben haben.
  • Typ ist die vom Anbieter zugewiesene Attributnummer.
  • Der Attributname ist der Typ des Attributnamens, den Sie in IAS definiert haben. Der Standardname ist CTXSUserGroups=

Wenn IAS nicht auf dem RADIUS-Server installiert ist, können Sie es über das Hinzufügen oder Entfernen von Programmen in der Systemsteuerung installieren. Weitere Informationen finden Sie in der Online-Hilfe von Windows.

Verwenden Sie zur Konfiguration von IAS die Microsoft Management Console (MMC) und installieren Sie das Snap-In für IAS. Folgen Sie dem Assistenten und stellen Sie sicher, dass Sie die folgenden Einstellungen auswählen:

  • Wählen Sie den lokalen Computer aus.
  • Wählen Sie RAS-Richtlinien aus und erstellen Sie eine benutzerdefinierte Richtlinie.
  • Wählen Sie Windows-Gruppen für die Richtlinie aus.
  • Wählen Sie eines der folgenden Protokolle aus:
    • Microsoft Challenge-Handshake-Authentifizierungsprotokoll Version 2 (MS-CHAP v2)
    • Microsoft Challenge-Handshake-Authentifizierungsprotokoll (MS-CHAP)
    • Challenge-Handshake-Authentifizierungsprotokoll (CHAP)
    • Unverschlüsselte Authentifizierung (PAP, SPAP)
  • Wählen Sie das herstellerspezifische Attribut aus.

    Das herstellerspezifische Attribut muss die Benutzer, die Sie in der Gruppe auf dem Server definiert haben, mit den Benutzern auf NetScaler Gateway abgleichen. Um diese Anforderung zu erfüllen, senden Sie die herstellerspezifischen Attribute an NetScaler Gateway. Stellen Sie sicher, dass Sie Radius=Standard wählen.

  • Der Radius-Standardwert ist 0. Verwenden Sie diese Nummer für den Lieferantencode.

  • Die vom Anbieter zugewiesene Attributnummer ist 0.

    Dies ist die zugewiesene Nummer für das Attribut Benutzergruppe. Das Attribut ist im Zeichenfolgenformat.

  • Wählen Sie Zeichenfolge für das Attributformat.

    Der Attributwert erfordert den Attributnamen und die Gruppen.

    Für das Access Gateway lautet der Attributwert ctxsUserGroups=groupName. Wenn zwei Gruppen definiert sind, wie Vertrieb und Finanzen, lautet der Attributwert ctxsUserGroups=Vertrieb; Finanzen. Trennen Sie jede Gruppe durch ein Semikolon.

  • Entfernen Sie alle anderen Einträge im Dialogfeld “Einwählprofil bearbeiten”, wobei der Eintrag “Anbieterspezifisch” belassen wird.

Nachdem Sie die RAS-Richtlinie in IAS konfiguriert haben, konfigurieren Sie die RADIUS-Authentifizierung und -Autorisierung auf NetScaler Gateway.

Verwenden Sie beim Konfigurieren der RADIUS-Authentifizierung die Einstellungen, die Sie auf dem IAS-Server konfiguriert haben.

Konfigurieren von RADIUS für die Authentifizierung auf Windows Server 2008

Unter Windows Server 2008 konfigurieren Sie die RADIUS-Authentifizierung und -Autorisierung mithilfe des Netzwerkrichtlinienservers (NPS), der den Internetauthentifizierungsdienst (IAS) ersetzt. Sie verwenden Server-Manager und fügen NPS als Rolle hinzu, um ihn zu installieren.

Wenn Sie NPS installieren, wählen Sie den Netzwerkrichtliniendienst aus. Nach der Installation können Sie RADIUS-Einstellungen für Ihr Netzwerk konfigurieren, indem Sie den NPS über die Verwaltungsdienste im Startmenü starten. Wenn Sie den NPS öffnen, fügen Sie NetScaler Gateway als RADIUS-Client hinzu und konfigurieren dann Servergruppen.

Stellen Sie bei der Konfiguration des RADIUS-Clients sicher, dass Sie die folgenden Einstellungen wählen:

  • Wählen Sie für den Namen des Anbieters RADIUS Standard aus.
  • Notieren Sie sich das Shared Secret, da Sie dasselbe freigegebene Geheimnis auf NetScaler Gateway konfigurieren müssen.

Für die RADIUS-Gruppen benötigen Sie die IP-Adresse oder den Hostnamen des RADIUS-Servers. Ändern Sie die Standardeinstellungen nicht.

Nachdem Sie den RADIUS-Client und die Gruppen konfiguriert haben, konfigurieren Sie die Einstellungen in den folgenden beiden Richtlinien:

  • Verbindungsanforderungsrichtlinien, in denen Sie die Einstellungen für die NetScaler Gateway-Verbindung konfigurieren, einschließlich des Netzwerkservertyps, der Bedingungen für die Netzwerkrichtlinie und die Einstellungen für die Richtlinie.
  • Netzwerkrichtlinien, in denen Sie die Authentifizierung des Extensible Authentication Protocol (EAP) und die herstellerspezifischen Attribute konfigurieren.

Wenn Sie die Verbindungsanforderungsrichtlinie konfigurieren, wählen Sie für den Typ des Netzwerkservers Nicht angegeben aus. Anschließend konfigurieren Sie Ihren Zustand, indem Sie den NAS-Port-Typ als Bedingung und Virtual (VPN) als Wert auswählen.

Wenn Sie eine Netzwerkrichtlinie konfigurieren, müssen Sie die folgenden Einstellungen konfigurieren:

  • Wählen Sie Remote Access Server (VPN-DFÜ-Verbindung) als Typ des Netzwerkzugriffsservers aus.

  • Wählen Sie Verschlüsselte Authentifizierung (CHAP) und Unverschlüsselte Authentifizierung (PAP und SPAP) für das EAP aus.

  • Wählen Sie RADIUS-Standard für das herstellerspezifische Attribut aus.

    Die Standardattributnummer ist 26. Dieses Attribut wird für die RADIUS-Autorisierung verwendet.

    NetScaler Gateway benötigt das herstellerspezifische Attribut, um die in der Gruppe auf dem Server definierten Benutzer mit denen auf NetScaler Gateway abzugleichen. Dies erfolgt durch Senden der herstellerspezifischen Attribute an das NetScaler Gateway.

  • Wählen Sie String für das Attributformat.

    Der Attributwert erfordert den Attributnamen und die Gruppen.

    Für NetScaler Gateway lautet der Attributwert ctxsUserGroups= groupname. Wenn zwei Gruppen definiert sind, wie Vertrieb und Finanzen, lautet der Attributwert ctxsUserGroups=Vertrieb; Finanzen. Trennen Sie jede Gruppe durch ein Semikolon.

  • Das Trennzeichen ist das, das Sie im NPS verwendet haben, um Gruppen wie ein Semikolon, einen Doppelpunkt, ein Leerzeichen oder einen Punkt zu trennen.

Wenn Sie die Konfiguration der RAS-Richtlinie in IAS abgeschlossen haben, können Sie die RADIUS-Authentifizierung und -Autorisierung auf NetScaler Gateway konfigurieren.

RADIUS-Gruppen-Extraktion konfigurieren