RADIUS认证策略

与其他类型认证策略一样,远程验证用户服务拨号策略由表达式和动作组成创建认证策略后,绑定为认证虚拟服务器并优先排序当绑定时,您还称它为初级或二级策略建立RADIUS认证策略有下文描述的某些特殊要求

通常您配置CitrixADC使用验证服务器IP地址使用RADIUS认证服务器,您现在可以配置ADC使用RADIUS服务器FQDN代之以IP地址认证用户使用FQDN可简化复杂得多的认证、授权和审计配置环境,认证服务器可能位于IP地址中任何一个,但总使用单FQDN使用服务器FQDN替代IP地址配置认证时,除创建认证动作外,都遵循正常配置过程创建动作时替换服务器Name参数为服务器IP参数化

CitrixADC配置IP或FQDN服务器验证用户前,考虑配置认证、授权和审计认证FQDNADC认证用户时必须解决FQDN多用户同时验证时,生成的dNS查寻可能会延缓验证过程

注解

指令假设你已经熟悉RADIUS协议并配置你所选RADIUS认证服务器

更多信息泛泛建立认证策略见验证策略. 关于Citrix ADC应用表达式的更多信息见策略规则策略表达式.

使用命令行接口添加验证动作

验证 RADIUS服务器时,需要添加显性认证动作要做到这一点,命令提示键入下列命令:

add认证半径 [-serverip ++-serverName serverPort .-athTimeout {-radKey}{-radNASip serverVendorID ][-radAttributeType ][-radGroupsPrefix 数组分离器 通路编码 iVendorID ibativeType wdVendori [-pwdAttributeType ]] [-defaultAuthenticationGroup [调用常态

下例添加RADIUS认证动作命名**Authn-Act-1**,服务器IP#10218.24.65**,服务器端口**1812**,认证超时**15**分,半端键**WareLorax**,NASIP禁用和NASID**NAS1**

添加认证半径actionAuthn-Act-1-serverp 10.218.24.65-serverport1812-authtimeout15-radkeyWeLorax-radNASipD-radNASidNAS

下示例添加相同的RADIUS认证动作,但使用服务器FQDN**rad01.example.com**替代IP

addroactionAuth-Act-1-serverNamerad01.example.com-serverport 1812-athti

RADIUS认证可能失效,如果验证和计算动作都配置在同一服务器端口的“radiousAction”命令中克服前例条件 Citrix推荐使用不同命令 RADIUS认证和计算RADIUS认证配置sevretry**参数预设值3set认证半径ActionAuthn-Act-1-servrip 10.218.24.65-serverport1812-Serververv
               

• RADIUS计算配置atuserv检索参数值一

  • 集合验证半径a-act-servrip 10.218.24.65-serverport1813-athserv

使用命令行配置外部RADIUS服务器认证动作

配置现有RADIUS动作时,命令提示键入下列命令:

set认证半径 [-serverip ++-serverName serverPort .-athTimeout {-radKey}{-radNASip serverVendorID ][-radAttributeType ][-radGroupsPrefix 数组分离器 通路编码 iVendorID ibativeType wdVendori [-pwdAttributeType ]] [-defaultAuthenticationGroup [调用常态

##通过命令行接口消除外部RADIUS验证动作
               
                
               

实例

m认证半数性Authn-Act-1
               

使用配置工具配置RADIUS服务器

注解

配置工具使用术语服务器代替动作,但指同一项任务

1. 导航至安全度 > AAA-应用流量 > 策略 > 验证 > 半径
2. 细节板上服务器选项卡,执行下列操作之一:
   • 新建RADIUS服务器添加.
   • 修改已有RADIUS服务器,选择服务器并点击编辑.
3. 内创建验证RADIUS服务器或配置验证RADIUS服务器对话框、类型或选择参数值填充发送点标识下显示的参数 扩展细节
   • name++radiosActionName(前配置动作不可修改)
   • set toRADIUS无法修改
   • 服务器名/IP地址/选择服务器名或服务器IP
     • 服务器名serverName
     • IP地址serveri 如果服务器分配IPv6IP地址,选择IPv6复选框
   • Port*—serverPort
   • Time-out (seconds)*—authTimeout
   • 秘密密钥++Key
   • 确定秘密密钥++++无命令行等效
   • 发送调用站ID-调用站
   • 群商识别器-radVendorID
   • 组属性类型拉特Type
   • IP地址供应商标识器-iVendorID
   • pwdVendorID—pwdVendorID
   • 密码编码-密码编码
   • Default Authentication Group—defaultAuthenticationGroup
   • NASIDradNASid
   • 启动NASIP地址提取radNASip
   • 前缀群集前缀
   • Group Separator—radGroupSeparator
   • IP地址属性类型i
   • 密码属性类型-pwdatriteType
   • Accounting—accounting
4. 点击创建或好.servers页面显示您创建策略 。

支持通过RADIUS属性66

CitrixADC应用程序允许RADIUS属性66(unnel-Client-Endpoint)在RADIUS验证期间自由传递帮助二维因素认证接收委托客户IP地址以作出基于风险认证决策

新建属性“tunelEndpointClientIP”同时引入“附加认证半径动作”和“set半径Params”命令

要使用此特征,CitrixADC应用提示类型

• 添加认证半径 {-serverIP {{-serverName }} [-serverPort .[链点ClientIP
• 半径sparams {-serverIP i-serverName }} [-serverPort ] … [-tunnelEndpointClientIP(ENABLED|DISABLED)]

实例

• 增加认证半径-EverIP1.217.22.20-serverNameFQDN-serverPort 1812-tuneEndpointClientIpEnableD
• 半径Params-serverIp1.217.22.20-serverNameFQDN1-serverPort 1812-tuneEnd

支持验证端对端RADIUS认证

CitrixADC应用程序现在可以通过GUI验证端对端RADIUS认证验证特征时,GUI中将引入一个新的测试按钮CitrixADC应用管理员可用此特征实现下列效益:

• 合并全流(分组引擎-AA守护程序-外部服务器)以提供更好的分析
• 减少验证时间和故障解析问题

有两种选项使用GUI配置并查看RADIUS端对端认证测试结果

从系统选项

1. 导航至系统 > 验证 > 基本策略 > RADIUS点击服务器选项卡 。
2. 选择可用RADIUS动作从列表中选取 。
3. On配置验证RADIUS服务器页下有两个选项连接设置段内
4. 点击RADIUS服务器连接测试RADIUS可达性选项卡 。
5. 视图端对端RADIUS认证测试端用户连接链接化

从验证选项

1. 导航至认证>机板,从列表中选择可用RADIUS动作
2. On配置验证RADIUS服务器页下有两个选项连接设置段内
3. 点击RADIUS服务器连接测试RADIUS可达性选项卡 。
4. 视图端对端RADIUS认证状态测试端用户连接链接化