Configurar la extracción de grupos RADIUS
Puede configurar la autorización RADIUS mediante un método denominado extracción de grupos. La configuración de la extracción de grupos permite administrar usuarios en el servidor RADIUS en lugar de agregarlos a NetScaler Gateway.
Para configurar la autorización RADIUS, utilice una directiva de autenticación y configure el identificador (ID) del proveedor del grupo, el tipo de atributo de grupo, el prefijo de grupo y un separador de grupos. Al configurar la directiva, agrega una expresión y, a continuación, la vincula de forma global o a un servidor virtual.
Configuración de RADIUS en Windows Server 2003
Si utiliza Microsoft Internet Authentication Service (IAS) para la autorización RADIUS en Windows Server 2003, durante la configuración de NetScaler Gateway, debe proporcionar la siguiente información:
- El identificador de proveedor es el código específico del proveedor que ha introducido en IAS.
- Type es el número de atributo asignado por el proveedor.
- Nombre de atributo es el tipo de nombre de atributo definido en IAS. El nombre predeterminado es CTXSUserGroups=
Si IAS no está instalado en el servidor RADIUS, puede instalarlo desde Agregar o quitar programas del Panel de control. Para obtener más información, consulte la Ayuda en línea de Windows.
Para configurar IAS, utilice Microsoft Management Console (MMC) e instale el complemento para IAS. Siga el asistente y asegúrese de seleccionar la siguiente configuración:
- Seleccione equipo local.
- Seleccione Directivas de acceso remoto y cree una directiva personalizada.
- Seleccione Grupos de Windows para la directiva.
- Seleccione uno de los protocolos siguientes:
- Protocolo de autenticación por desafío mutuo de Microsoft versión 2 (MS-CHAP v2)
- Protocolo de autenticación por desafío mutuo de Microsoft (MS-CHAP)
- Protocolo de autenticación por desafío mutuo (CHAP)
- Autenticación sin cifrar (PAP, SPAP)
-
Seleccione el atributo específico del proveedor.
El atributo específico del proveedor debe hacer coincidir los usuarios definidos en el grupo del servidor con los usuarios de NetScaler Gateway. Para cumplir con este requisito, debe enviar los atributos específicos del proveedor a NetScaler Gateway. Asegúrese de seleccionar RADIUS=STANDARD.
-
El valor predeterminado de RADIUS es 0. Utilice este número para el código de proveedor.
-
El número de atributo asignado por el proveedor es 0.
Número asignado al atributo Grupo de usuarios. El atributo está en formato de cadena.
-
Seleccione Cadena para el formato de atributo.
El valor Attribute requiere el nombre del atributo y los grupos.
Para Access Gateway, el valor del atributo es CTXSUserGroups=groupname. Si se definen dos grupos, como ventas y finanzas, el valor del atributo es CTXSUserGroups=Sales; finance. Separe cada grupo con un punto y coma.
- Elimine todas las demás entradas del cuadro de diálogo Modificar perfil de marcado, dejando la que dice Específico del proveedor.
Después de configurar la directiva de acceso remoto en IAS, debe configurar la autenticación y autorización RADIUS en NetScaler Gateway.
Al configurar la autenticación RADIUS, utilice la configuración configurada en el servidor IAS.
Configuración de RADIUS para la autenticación en Windows Server 2008
En Windows Server 2008, se configura la autenticación y autorización RADIUS mediante el Servidor de directivas de red (NPS), que sustituye al Servicio de autenticación de Internet (IAS). Es posible utilizar el Administrador de servidores y agregar NPS como una función para instalar NPS.
Al instalar NPS, seleccione el Servicio de directivas de red. Después de la instalación, puede configurar la configuración de RADIUS para su red iniciando el NPS desde Servicios administrativos en el menú Inicio. Al abrir el NPS, agrega NetScaler Gateway como cliente RADIUS y, a continuación, configura los grupos de servidores.
Al configurar el cliente RADIUS, asegúrese de seleccionar la siguiente configuración:
- Para el nombre del proveedor, seleccione RADIUS Standard.
- Anote el secreto compartido porque tendrá que configurar el mismo secreto compartido en NetScaler Gateway.
Para los grupos RADIUS, necesita la dirección IP o el nombre de host del servidor RADIUS. No cambie la configuración predeterminada.
Después de configurar el cliente y los grupos RADIUS, configure la configuración en las dos directivas siguientes:
- Directivas de solicitud de conexión en las que se configuran los valores de la conexión de NetScaler Gateway, incluidos el tipo de servidor de red, las condiciones de la directiva de red y la configuración de la directiva.
- Directivas de red en las que se configura la autenticación del Protocolo de autenticación extensible (EAP) y los atributos específicos del proveedor.
Al configurar la directiva de solicitud de conexión, seleccione Sin especificar para el tipo de servidor de red. A continuación, configure su condición seleccionando Tipo de puerto NAS como condición y Virtual (VPN) como valor.
Al configurar una directiva de red, debe configurar los siguientes ajustes:
-
Seleccione Servidor de acceso remoto (acceso telefónico VPN) como tipo de servidor de acceso a la red.
-
Seleccione Autenticación cifrada (CHAP) y Autenticación sin cifrar (PAP y SPAP) para el EAP.
-
Seleccione Estándar RADIUS para el atributo específico del proveedor.
El número de atributo predeterminado es 26. Este atributo se utiliza para la autorización RADIUS.
NetScaler Gateway necesita el atributo específico del proveedor para que los usuarios definidos en el grupo del servidor coincidan con los de NetScaler Gateway. Para ello, se envían los atributos específicos del proveedor a NetScaler Gateway.
-
Seleccione Cadena para el formato de atributo.
El valor Attribute requiere el nombre del atributo y los grupos.
Para NetScaler Gateway, el valor del atributo es CTXSUserGroups= groupname. Si se definen dos grupos, como ventas y finanzas, el valor del atributo es CTXSUserGroups=Sales; finance. Separe cada grupo con un punto y coma.
-
El separador es el que utilizó en el NPS para separar grupos, como un punto y coma, dos puntos, un espacio o un punto.
Cuando haya terminado de configurar la directiva de acceso remoto en IAS, podrá configurar la autenticación y autorización RADIUS en NetScaler Gateway.