导航到 设置 > 身份验证 > 身份验证设置。
在 身份验证设置 页面上,在 外部服务器身份验证下,单击 启用单因素身份验证。
在 启用单因素身份验证 页面上,单击 选择服务器。 选择一个或多个身份验证服务器,然后单击 添加。
如果您希望在外部身份验证失败时由本地身份验证接管,请选择 如果外部身份验证失败,则回退到本地身份验证 。
如果要在系统审计日志中捕获外部用户组信息,请选择 在系统日志中记录外部用户组信息 。
点击 提交 关闭页面。
选定的服务器显示在 身份验证设置 页面上。
如果外部服务器身份验证失败,回退选项可让本地身份验证接管。 即使配置的外部身份验证服务器已关闭或无法访问,NetScaler 控制台和外部身份验证服务器上配置的用户也可以登录到 NetScaler 控制台。 为确保后备身份验证工作正常:
如果外部服务器关闭或无法访问,非 nsroot 用户必须能够访问 NetScaler 控制台
您必须添加至少一个外部服务器
NetScaler Console 还支持统一的身份验证、授权和记帐 (AAA) 协议系统(LDAP、RADIUS 和 TACACS)以及本地身份验证。 这种统一的支持提供了一个通用接口来对访问系统的所有用户和外部 AAA 客户端进行身份验证和授权。
无论用户与系统通信的实际协议是什么,NetScaler 控制台都可以对用户进行身份验证。 级联外部身份验证服务器为外部用户的身份验证和授权提供了持续无故障的过程。 如果在第一个身份验证服务器上的身份验证失败,NetScaler Console 将尝试使用第二个外部身份验证服务器对用户进行身份验证,依此类推。 要启用级联身份验证,必须在 NetScaler 控制台中添加外部身份验证服务器。 您可以添加任何类型的受支持的外部身份验证服务器(RADIUS、LDAP 和 TACACS)。
例如,假设您要添加四个外部身份验证服务器并配置两个 RADIUS 服务器、一个 LDAP 服务器和一个 TACACS 服务器。 NetScaler Console 尝试根据配置与外部服务器进行身份验证。 在此示例场景中,NetScaler 控制台尝试:
连接第一个 RADIUS 服务器
如果第一个 RADIUS 服务器的身份验证失败,则连接到第二个 RADIUS 服务器
如果两个 RADIUS 服务器的身份验证均失败,则连接到 LDAP 服务器
如果 RADIUS 服务器和 LDAP 服务器的身份验证均失败,则连接 TACACS 服务器。
笔记
您可以在 NetScaler 控制台中配置最多 32 个外部身份验证服务器。
导航到 设置 > 身份验证 > 身份验证设置。
在 身份验证设置 页面上,在 外部服务器身份验证下,单击 启用单因素身份验证。
在 启用单因素身份验证 页面上,单击 选择服务器。 选择一个或多个身份验证服务器,然后单击 添加。
如果您希望在外部身份验证失败时由本地身份验证接管,请选择 如果外部身份验证失败,则回退到本地身份验证 。
如果要在系统审计日志中捕获外部用户组信息,请选择 在系统日志中记录外部用户组信息 。
点击 提交 关闭页面。
选定的服务器显示在 身份验证设置 页面上。
您还可以通过使用服务器名称旁边的图标在列表中上下移动服务器来指定身份验证的顺序。