Gateway

使用 RADIUS 配置密码返回

您可以将域密码替换为令牌从 RADIUS 服务器生成的一次性密码。当用户登录 NetScaler Gateway 时,他们会输入令牌中的个人识别码 (PIN) 和通行码。NetScaler Gateway 验证其凭据后,RADIUS 服务器会将用户的 Windows 密码返回到 NetScaler Gateway。NetScaler Gateway 接受来自服务器的响应,然后使用返回的密码进行单点登录,而不是使用用户在登录过程中键入的密码。此带有 RADIUS 功能的密码返回允许您配置单点登录,而无需用户撤回其 Windows 密码。

当用户使用密码返回登录时,他们可以访问内部网络中所有允许的网络资源,包括 Citrix Endpoint Management、StoreFront 和 Web Interface。

要使用返回的密码启用单点登录,请使用密码供应商标识符和密码属性类型参数在 NetScaler Gateway 上配置 RADIUS 身份验证策略。这两个参数会将用户的 Windows 密码返回到 NetScaler Gateway。

NetScaler Gateway 支持 Imprivata OneSign。Imprivata OneSign 的最低要求版本为 4.0,其中包含服务包 3。Imprivata OneSign 的默认密码供应商标识符为 398。Imprivata OneSign 的默认密码属性类型代码为 5。

您可以使用其他 RADIUS 服务器返回密码,例如 RSA、Cisco 或 Microsoft。将 RADIUS 服务器配置为在供应商特定的属性值对中返回用户单点登录密码。在 NetScaler Gateway 身份验证策略中,必须为这些服务器添加 密码供应商标识符和密码 属性类型参数。

您可以在 互联网号码分配机构 (IANA) 网站上找到供应商标识符的完整列表。例如,RSA 安全性的供应商标识符为 2197,Microsoft 为 311,Cisco Systems 的供应商标识符为 9。供应商支持的特定于供应商的属性必须与供应商确认。例如,Microsoft 已在 Microsoft 供应商特定的 RADIUS 属性上发布了供应商特定属性的列表。

您可以选择任何供应商特定的属性,在供应商的 RADIUS 服务器上存储用户的单点登录密码。如果使用供应商标识符和用户密码存储在 RADIUS 服务器上的属性配置 NetScaler Gateway,NetScaler Gateway 将请求发送到 RADIUS 服务器的访问请求数据包中的属性值。如果 RADIUS 服务器使用访问接受数据包中的相应属性值对进行响应,则无论您使用哪个 RADIUS 服务器,密码返回都会起作用。

要使用返回的密码配置单点登录:

  1. 在配置实用程序中的配置选项卡上,展开 NetScaler Gateway > 策略\ > 身份验证
  2. 在导航窗格中,单击 RADIUS
  3. 在详细信息窗格中,单击“添加”。
  4. 在“创建身份验证策略”对话框的“名称”中,键入策略的名称。
  5. 在“服务器”旁边,单击“新建”。
  6. 名称中,键入服务器的名称。
  7. 配置 RADIUS 服务器的设置。
  8. 密码供应商标识符中,键入 RADIUS 服务器返回的供应商标识符。此标识符的最小值必须为 1。
  9. 密码属性类型中,键入 RADIUS 服务器在供应商特定 AVP 代码中返回的属性类型。该值的范围可以在 1 到 255 之间。
  10. 在“创建身份验证策略”对话框中,在“命名表达式”旁边,选择表达式,单击“添加表达式”,单击“创建”,然后单击“关闭”。
使用 RADIUS 配置密码返回