Configuration de l’extraction de groupes RADIUS
Vous pouvez configurer l’autorisation RADIUS à l’aide d’une méthode appelée extraction de groupe. La configuration de l’extraction de groupes vous permet d’administrer les utilisateurs sur votre serveur RADIUS au lieu de les ajouter à NetScaler Gateway.
Vous configurez l’autorisation RADIUS à l’aide d’une stratégie d’authentification et en configurant l’identificateur de fournisseur (ID) du groupe, le type d’attribut de groupe, le préfixe de groupe et un séparateur de groupe. Lorsque vous configurez la stratégie, vous ajoutez une expression, puis vous liez la stratégie globalement ou à un serveur virtuel.
Configuration de RADIUS sur Windows Server 2003
Si vous utilisez Microsoft Internet Authentication Service (IAS) pour l’autorisation RADIUS sous Windows Server 2003, lors de la configuration de NetScaler Gateway, vous devez fournir les informations suivantes :
- L’ID fournisseur est le code spécifique au fournisseur que vous avez saisi dans IAS.
- Type correspond au numéro d’attribut attribué par le fournisseur.
- Le nom d’attribut est le type de nom d’attribut que vous avez défini dans IAS. Le nom par défaut est CTXSUserGroups=
Si IAS n’est pas installé sur le serveur RADIUS, vous pouvez l’installer à partir de l’option Ajout/Suppression de programmes du Panneau de configuration. Pour plus d’informations, consultez l’aide en ligne de Windows.
Pour configurer IAS, utilisez la console de gestion Microsoft (MMC) et installez le composant logiciel enfichable pour IAS. Suivez l’assistant, en vous assurant de sélectionner les paramètres suivants :
- Sélectionnez l’ordinateur local.
- Sélectionnez Stratégies d’accès à distance et créez une stratégie personnalisée.
- Sélectionnez Groupes Windows pour la stratégie.
- Sélectionnez l’un des protocoles suivants :
- Protocole d’authentification Microsoft Challenge-Handshake version 2 (MS-CHAP v2)
- Protocole d’authentification Microsoft Challenge-Handshake (MS-CHAP)
- Protocole CHAP (Challenge-Handshake Authentication Protocol)
- Authentification non chiffrée (PAP, SPAP)
-
Sélectionnez l’attribut spécifique au fournisseur.
L’attribut spécifique au fournisseur doit correspondre aux utilisateurs que vous avez définis dans le groupe sur le serveur avec les utilisateurs de NetScaler Gateway. Pour répondre à cette exigence, vous envoyez les attributs spécifiques au fournisseur à NetScaler Gateway. Assurez-vous de sélectionner RADIUS=Standard.
-
La valeur par défaut de RADIUS est 0. Utilisez ce numéro comme code fournisseur.
-
Le numéro d’attribut attribué par le fournisseur est 0.
Il s’agit du numéro attribué à l’attribut Groupe d’utilisateurs. L’attribut est au format chaîne.
-
Sélectionnez String pour le format d’attribut.
La valeur Attribute nécessite le nom de l’attribut et les groupes.
Pour Access Gateway, la valeur de l’attribut est CTXSUserGroups=GroupName. Si deux groupes sont définis, tels que ventes et finances, la valeur de l’attribut est CTXSUserGroups=Sales ; finance. Séparez chaque groupe par un point-virgule.
- Supprimez toutes les autres entrées de la boîte de dialogue Modifier le profil d’accès à distance, en laissant celle qui indique Spécifique au fournisseur.
Après avoir configuré la stratégie d’accès à distance dans IAS, vous configurez l’authentification et l’autorisation RADIUS sur NetScaler Gateway.
Lorsque vous configurez l’authentification RADIUS, utilisez les paramètres que vous avez configurés sur le serveur IAS.
Configuration de RADIUS pour l’authentification sur Windows Server 2008
Sur Windows Server 2008, vous configurez l’authentification et l’autorisation RADIUS à l’aide du serveur de stratégie réseau (NPS), qui remplace le service d’authentification Internet (IAS). Vous pouvez utiliser le gestionnaire de serveurs et ajouter NPS en tant que rôle pour installer ce dernier.
Lorsque vous installez NPS, sélectionnez le service de stratégie réseau. Après l’installation, vous pouvez configurer les paramètres RADIUS pour votre réseau en démarrant le NPS à partir des services d’administration du menu Démarrer. Lorsque vous ouvrez le NPS, vous ajoutez NetScaler Gateway en tant que client RADIUS, puis vous configurez des groupes de serveurs.
Lorsque vous configurez le client RADIUS, veillez à sélectionner les paramètres suivants :
- Pour le nom du fournisseur, sélectionnez RADIUS Standard.
- Prenez note du secret partagé car vous devrez configurer le même secret partagé sur NetScaler Gateway.
Pour les groupes RADIUS, vous avez besoin de l’adresse IP ou du nom d’hôte du serveur RADIUS. Ne modifiez pas les paramètres par défaut.
Après avoir configuré le client et les groupes RADIUS, vous configurez les paramètres dans les deux stratégies suivantes :
- Stratégies de demande de connexion dans lesquelles vous configurez les paramètres de la connexion NetScaler Gateway, notamment le type de serveur réseau, les conditions de la stratégie réseau et les paramètres de la stratégie.
- Stratégies réseau dans lesquelles vous configurez l’authentification EAP (Extensible Authentication Protocol) et les attributs spécifiques au fournisseur.
Lorsque vous configurez la stratégie de demande de connexion, sélectionnez Non spécifié pour le type de serveur réseau. Vous configurez ensuite votre condition en sélectionnant Type de port NAS comme condition et Virtuel (VPN) comme valeur.
Lorsque vous configurez une stratégie réseau, vous devez configurer les paramètres suivants :
-
Sélectionnez Remote Access Server (VPN Dial-up) comme type de serveur d’accès réseau.
-
Sélectionnez Encrypted Authentication (CHAP) et Uncrypted Authentication (PAP et SPAP) pour l’EAP.
-
Sélectionnez RADIUS Standard pour l’attribut spécifique au fournisseur.
Le numéro d’attribut par défaut est 26. Cet attribut est utilisé pour l’autorisation RADIUS.
NetScaler Gateway a besoin de l’attribut spécifique au fournisseur pour faire correspondre les utilisateurs définis dans le groupe sur le serveur à ceux de NetScaler Gateway. Cela se fait en envoyant les attributs spécifiques au fournisseur à NetScaler Gateway.
-
Sélectionnez String (Chaîne) pour le format d’attribut.
La valeur Attribute nécessite le nom de l’attribut et les groupes.
Pour NetScaler Gateway, la valeur de l’attribut est CtxSUserGroups= groupname. Si deux groupes sont définis, tels que ventes et finances, la valeur de l’attribut est CTXSUserGroups=Sales ; finance. Séparez chaque groupe par un point-virgule.
-
Le séparateur est celui que vous avez utilisé sur le NPS pour séparer des groupes, tels qu’un point-virgule, un deux-points, un espace ou un point.
Lorsque vous avez terminé de configurer la stratégie d’accès à distance dans IAS, vous pouvez configurer l’authentification et l’autorisation RADIUS sur NetScaler Gateway.