半径的身份验证
与其他类型的身份验证策略一样,RADIUS (Remote authentication Dial In User Service)身份验证策略由表达式和动作组成。创建身份验证策略后,将其绑定到身份验证虚拟服务器,并为其分配优先级。在绑定它时,还可以将其指定为主要策略或次要策略。但是,设置RADIUS身份验证策略有一些特殊的要求,如下所述。
通常情况下,您将Citrix ADC配置为在身份验证期间使用身份验证服务器的IP地址。使用RADIUS身份验证服务器,您现在可以将ADC配置为使用RADIUS服务器的FQDN而不是其IP地址来验证用户。在身份验证服务器可能位于多个IP地址中的任何一个的环境中,使用FQDN可以简化更为复杂的身份验证、授权和审计配置,但始终使用单个FQDN。如果使用服务器的FQDN而不是IP地址配置身份验证,除了创建身份验证动作之外,您可以遵循正常的配置过程。创建操作时,替换serverName参数。serverIP参数。
在决定是否将Citrix ADC配置为使用RADIUS服务器的IP或FQDN对用户进行身份验证之前,请考虑将身份验证、授权和审计配置为对FQDN而不是IP地址进行身份验证,这将为身份验证过程增加额外的步骤。ADC每次对用户进行身份验证时,都必须解析FQDN。如果大量用户试图同时进行身份验证,那么所产生的DNS查找可能会减慢身份验证过程。
请注意
这些说明假设您已经熟悉RADIUS协议,并且已经配置了您选择的RADIUS身份验证服务器。
使用命令行方式增加RADIUS服务器的认证动作
如果需要向RADIUS服务器进行认证,则需要添加显式认证动作。要做到这一点,在命令提示符处输入以下命令:
add authentication radiusAction [-serverip | -serverName] ][-serverPort ] [-authTimeout ] {-radKey} [-radNASip (ENABLED | DISABLED)][-radNASid ][-radVendorID ][-radAttributeType ][-radGroupsPrefix ][-radGroupSeparator ][-passEncoding ][-ipVendorID ][-ipAttributeType ][-accounting (ON | OFF)][-pwdVendorID [-pwdAttributeType ]] [-defaultAuthenticationGroup ] [-callingstationid (ENABLED | DISABLED)] 下面的示例添加一个名为Authn-Act-1,为服务器IP10.218.24.65,服务器端口1812,认证超时时间。15分钟,半径键WareTheLorax、已禁用的NAS IP、NAS IDNAS1.
add authentication radiusaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1 Done 下面的示例添加相同的RADIUS身份验证操作,但是使用服务器FQDNrad01.example.com而不是IP。
add authentication radiusaction Authn-Act-1 -serverName rad01.example.com -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1 Done 使用命令行配置外部RADIUS服务器的认证动作
要配置一个现有的RADIUS动作,在命令提示符处输入以下命令:
set authentication radiusAction [-serverip | -serverName] ][-serverPort ] [-authTimeout ] {-radKey} [-radNASip (ENABLED | DISABLED)][-radNASid ][-radVendorID ][-radAttributeType ][-radGroupsPrefix ][-radGroupSeparator ][-passEncoding ][-ipVendorID ][-ipAttributeType ][-accounting (ON | OFF)][-pwdVendorID [-pwdAttributeType ]] [-defaultAuthenticationGroup ] [-callingstationid (ENABLED | DISABLED)] 使用命令行方式删除RADIUS外部服务器的认证动作
要删除一个现有的RADIUS操作,在命令提示符处输入以下命令:
rm authentication radiusAction 例子
rm authentication radiusaction Authn-Act-1 Done 使用配置工具配置RADIUS服务器
请注意
在配置实用程序中,使用术语服务器而不是操作,但指的是相同的任务。
- 导航到安全> AAA -应用流量>策略>认证>半径
在详细信息窗格中,在服务器选项卡,执行以下操作之一:
- 单击,新建RADIUS服务器添加.
- 如果需要修改已创建的RADIUS服务器,选中RADIUS服务器前的复选框,单击编辑.
在新建认证RADIUS服务器或配置认证RADIUS服务器对话框,输入或选择参数值。以填写下面出现的参数发送主叫站ID,扩大细节.
- 名称* -radiusActionName(不能为先前配置的动作更改)
- 认证类型* -authtype(设置为RADIUS,不可修改)
服务器名称/ IP地址* -选择“服务器名称”或“服务器IP”
- 服务器名* -serverName
.使用实例 - IP地址* -serverIp
如果服务器的IP地址是IPv6的,选中“IPv6”复选框。
- 服务器名* -serverName
- 港口* -serverPort
- 超时(秒)* -authTimeout
- 密钥* -radKey (RADIUS共享的密钥。)
- 确认密钥*第二次键入RADIUS共享密钥。(没有对等的命令行。)
- 发送主叫台号callingstationid
- 组供应商标识符- radvendorid
- 组属性类型- radattributetype
- IP地址供应商标识符- ipvendorid
- pwdVendorID-pwdVendorID
- 密码Encoding-passEncoding
- 默认认证组- defaultauthenticationgroup
- NAS ID-radNASid
- 开启NAS IP地址提取- radnasip功能
- 集团Prefix-radGroupsPrefix
- 集团Separator-radGroupSeparator
- IP地址属性类型- ipattributetype
- 密码属性类型- pwdattributetype
- Accounting-accounting
- 点击创建或好吧.您创建的策略将出现在Servers页面中。
支持通过RADIUS属性66(隧道-客户端-端点)
Citrix ADC设备现在允许在RADIUS身份验证期间传递RADIUS属性66 (Tunnel-Client-Endpoint)。通过应用该特性,客户端的IP地址被委托的二次认证接收,从而做出基于风险的认证决策。
在“add authentication radiusAction”和“set radiusParams”命令中都引入了一个新属性“tunnelEndpointClientIP”。
要使用此功能,在Citrix ADC设备命令提示符处输入:
add authentication radiusAction {-serverIP |{-serverName }} [-serverPort]…[-tunnelEndpointClientIP(ENABLED|DISABLED)] set radiusParams {-serverIP |{-serverName }} [-serverPort]…[-tunnelEndpointClientIP(ENABLED|DISABLED)] 例子
add authentication radiusAction radius -severIP 1.217.22.20 -serverName FQDN -serverPort 1812 -tunnelEndpointClientIp ENABLED set radiusParams -serverIp 1.217.22.20 -serverName FQDN1 -serverPort 1812 -tunnelEndpointClientIp ENABLED 支持验证端到端的RADIUS认证
Citrix ADC设备现在可以通过GUI验证端到端RADIUS身份验证。为了验证这一功能,在GUI中引入了一个新的“test”按钮。Citrix ADC设备管理员可以利用此特性实现以下好处:
- 巩固完整的流程(数据包引擎- aaa守护进程-外部服务器),以提供更好的分析
- 减少验证和排除与个别场景相关的问题的时间
您可以通过GUI配置和查看RADIUS端到端认证的测试结果。
从系统选项
- 导航到系统>认证>基本策略> RADIUS,点击服务器选项卡。
- 选择可用的半径的行动从名单上。
- 在配置认证RADIUS服务器佩奇,你有两个选择连接设置部分。
- 单击,检查RADIUS服务器是否连通测试RADIUS可达性选项卡。
- 单击,查看RADIUS端到端认证信息测试终端用户连接链接。
从身份验证选项
- 导航到认证>仪表盘,从列表中选择可用的RADIUS动作。
- 在配置认证RADIUS服务器佩奇,你有两个选择连接设置部分。
- 单击,检查RADIUS服务器是否连通测试RADIUS可达性选项卡。
- 单击,查看RADIUS端到端认证状态测试终端用户连接链接。