RADIUS 身份验证
与其他类型的身份验证策略一样,远程身份验证拨入用户服务 (RADIUS) 身份验证策略由表达式和操作组成。创建身份验证策略后,将其绑定到身份验证虚拟服务器并为其分配优先级。绑定时,还要将其指定为主策略或辅助策略。但是,设置 RADIUS 身份验证策略有一些特殊要求,如下所述。
通常,您可以将 NetScaler 配置为在身份验证期间使用身份验证服务器的 IP 地址。使用 RADIUS 身份验证服务器,您现在可以将 ADC 配置为使用 RADIUS 服务器的 FQDN 而不是其 IP 地址来对用户进行身份验证。在身份验证服务器可能位于多个 IP 地址中的任何一个,但始终使用单个 FQDN 的环境中,使用 FQDN 可以简化原本复杂得多的身份验证、授权和审核配置。要使用服务器的 FQDN 而不是其 IP 地址来配置身份验证,请遵循正常的配置过程(创建身份验证操作时除外)。创建操作时,使用 serverName 参数替换 serverIP 参数。
在决定是否将 NetScaler 配置为使用 RADIUS 服务器的 IP 或 FQDN 对用户进行身份验证之前,请考虑将身份验证、授权和审计配置为向 FQDN 而不是 IP 地址进行身份验证会为身份验证过程添加额外步骤。ADC 每次对用户进行身份验证时,都必须解析 FQDN。如果有大量用户尝试同时进行身份验证,则由此产生的 DNS 查找可能会减慢身份验证过程。
注意
这些说明假设您已经熟悉 RADIUS 协议并且已经配置了所选的 RADIUS 身份验证服务器。
使用命令行界面为 RADIUS 服务器添加身份验证操作
如果您向 RADIUS 服务器进行身份验证,则需要添加明确的身份验证操作。要执行此操作,请在命令提示符处键入以下命令:
add authentication radiusAction <name> [-serverip <IP> | -serverName] <FQDN>][-serverPort <port>] [-authTimeout <positive_integer>] {-radKey } [-radNASip ( ENABLED | DISABLED )][-radNASid <string>] [-radVendorID <positive_integer>][-radAttributeType <positive_integer>][-radGroupsPrefix <string>] [-radGroupSeparator <string>][-passEncoding <passEncoding>][-ipVendorID <positive_integer>] [-ipAttributeType <positive_integer>][-accounting ( ON | OFF )][-pwdVendorID <positive_integer> [-pwdAttributeType <positive_integer>]] [-defaultAuthenticationGroup <string>] [-callingstationid ( ENABLED | DISABLED )]
<!--NeedCopy-->
以下示例添加了一个名为 Authn-Act-1 的 RADIUS 身份验证操作,服务器 IP 为 10.218.24.65,服务器端口 1812,身份验证超时 15 分钟,radius 密钥 WareTheLorax,NAS IP 已禁用,NAS ID 为 NAS1。
add authentication radiusaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1
Done
<!--NeedCopy-->
以下示例添加了相同的 RADIUS 身份验证操作,但使用了服务器 FQDN rad01.example.com 而不是 IP。
add authentication radiusaction Authn-Act-1 -serverName rad01.example.com -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1
Done
<!--NeedCopy-->
使用命令行为外部 RADIUS 服务器配置身份验证操作
要配置现有的 RADIUS 操作,请在命令提示符处键入以下命令:
set authentication radiusAction <name> [-serverip <IP> | -serverName] <FQDN>][-serverPort <port>] [-authTimeout <positive_integer>] {-radKey } [-radNASip ( ENABLED | DISABLED )][-radNASid <string>] [-radVendorID <positive_integer>][-radAttributeType <positive_integer>][-radGroupsPrefix <string>] [-radGroupSeparator <string>][-passEncoding <passEncoding>][-ipVendorID <positive_integer>] [-ipAttributeType <positive_integer>][-accounting ( ON | OFF )][-pwdVendorID <positive_integer> [-pwdAttributeType <positive_integer>]] [-defaultAuthenticationGroup <string>] [-callingstationid ( ENABLED | DISABLED )]
<!--NeedCopy-->
使用命令行界面删除外部 RADIUS 服务器的身份验证操作
要删除现有 RADIUS 操作,请在命令提示符下键入以下命令:
rm authentication radiusAction <name>
<!--NeedCopy-->
示例
rm authentication radiusaction Authn-Act-1
Done
<!--NeedCopy-->
使用配置实用程序配置 RADIUS 服务器
注意
在配置实用程序中,使用术语服务器而不是操作,但指的是相同的任务。
- 导航到 安全 > AAA-应用程序流量 > 策略 > 身份验证 > Radius
-
在详细信息窗格的“服务器”选项卡上,执行以下操作之一:
- 要创建新的 RADIUS 服务器,请单击“添加”。
- 要修改现有的 RADIUS 服务器,请选择该服务器,然后单击“编辑”。
-
在“创建身份验证 RADIUS 服务器”或“配置身份验证 RADIUS 服务器”对话框中,键入或选择参数值。要填写 发送呼叫站 ID下方显示的参数,请展开 详细信息。
- name*—radiusActionName(无法为先前配置的操作进行更改)
- 身份验证类型*—身份验证类型(设置为 RADIUS,无法更改)
-
服务器名称/IP 地址*—选择服务器名称或服务器 IP
- Server Name*—serverName <FQDN>
- IP Address*—serverIp <IP> 如果为服务器分配了 IPv6 IP 地址,请选中 IPv6 复选框。
- 端口*— serverPort
- 超时(秒)*—authTimeout
- 密钥*—radkey(RADIUS 共享密钥。)
- 确认密钥*—再次键入 RADIUS 共享密钥。(没有等效的命令行。)
- 发送主叫站 ID-呼叫站 ID
- 集团供应商标识符— radVendorID
- 组属性类型- radAttributeType
- IP 地址供应商标识符— ipVendorID
- pwdVendorID—pwdVendorID
- 密码编码- passEncoding
- 默认身份验证组-默认身份验证组
- NAS ID—radNASid
- 启用 NAS IP 地址提取— radNASip
- 组前缀 - radGroupsPrefix
- 组分隔符 - radGroupSeparator
- IP 地址属性类型— ipAttributeType
- 密码属性类型 - pwdAttributeType
- 会计—会计
- 单击 Create(创建)或 OK(确定)。您创建的策略显示在“服务器”页面中。
支持传递 RADIUS 属性 66(通道客户端端点)
NetScaler 设备现在允许在 RADIUS 身份验证期间传递 RADIUS 属性 66(Tunnel-Client-Endpoint)。通过应用此功能,客户机的 IP 地址将通过委托的第二因素身份验证接收,以做出基于风险的身份验证决策。
在“add authentication radiusAction”和“set radiusParams”命令中都引入了新属性“tunnelEndpointClientIP”。
要使用此功能,请在 NetScaler 设备命令提示符下键入:
add authentication radiusAction <name> {-serverIP <ip_addr|ipv6_addr|*> | {-serverName <string>}} [-serverPort <port>] … [-tunnelEndpointClientIP (ENABLED|DISABLED)]
set radiusParams {-serverIP <ip_addr|ipv6_addr|*> |{-serverName <string>}} [-serverPort<port>] … [-tunnelEndpointClientIP(ENABLED|DISABLED)]
<!--NeedCopy-->
示例
add authentication radiusAction radius -severIP 1.217.22.20 -serverName FQDN -serverPort 1812 -tunnelEndpointClientIp ENABLED
set radiusParams -serverIp 1.217.22.20 -serverName FQDN1 -serverPort 1812 -tunnelEndpointClientIP ENABLED
<!--NeedCopy-->
支持验证端到端 RADIUS 身份验证
NetScaler 设备现在可以通过 GUI 验证端到端 RADIUS 身份验证。为了验证此功能,GUI 中引入了一个新的“测试”按钮。NetScaler 设备管理员可以利用此功能实现以下好处:
- 整合完整的流程(数据包引擎 — aaa 守护进程 — 外部服务器),以提供更好的分析
- 缩短验证和故障排除与单个场景相关的问题的时间
您可以通过两个选项使用 GUI 配置和查看 RADIUS 端到端身份验证的测试结果。
“从系统”选项
- 导航到 系统 > 身份验证 > 基本策略 > RADIUS, 单击 服务器 选项卡。
- 从列表中选择可用的 RADIUS 操作 。
- 在“配置身份验证 RADIUS 服务器”页面上,在“连接设置”部分有两个选项。
- 要检查 RADIUS 服务器连接,请单击“测试 RADIUS 可访问性”选项卡。
- 要查看端到端 RADIUS 身份验证,请单击“测试最终用户连接”链接。
来自身份验证选项
- 导航到 身份验证 > 控制面板,从列表中选择可用的 RADIUS 操作。
- 在“配置身份验证 RADIUS 服务器”页面上,在“连接设置”部分有两个选项。
- 要检查 RADIUS 服务器连接,请单击“测试 RADIUS 可访问性”选项卡。
- 要查看端到端 RADIUS 身份验证状态,请单击“测试最终用户连接”链接。