配置RADIUS返回密码

可以将域密码替换为令牌从RADIUS服务器生成的一次性密码。当用户登录到Citrix Gateway时，他们输入个人识别号码(PIN)和令牌中的密码。Citrix网关验证用户的凭据后，RADIUS服务器将用户的Windows密码返回给Citrix网关。Citrix Gateway接受来自服务器的响应，然后使用返回的密码进行单点登录，而不是使用用户在登录期间键入的密码。此密码返回与RADIUS功能允许您配置单点登录，而不要求用户收回其Windows密码。

当用户使用返回密码登录时，可以访问内部网络中所有允许的网络资源，包括Citrix Endpoint Management、StoreFront和Web Interface。

如果需要使用返回密码单点登录，则需要在Citrix网关上配置RADIUS认证策略，使用“密码厂商标识”和“密码属性类型”参数。这两个参数将用户的Windows密码返回给Citrix Gateway。

Citrix网关支持Imprivata OneSign。Imprivata OneSign的最低要求版本是带有service pack 3的4.0。Imprivata OneSign的默认密码供应商标识符是398。Imprivata OneSign默认的密码属性类型代码为5。

您可以使用其他RADIUS服务器返回密码，例如RSA、Cisco或Microsoft。配置RADIUS服务器以特定于厂商的属性值对形式返回用户单点登录密码。在Citrix Gateway认证策略中，必须添加密码厂商标识符和密码这些服务器的属性类型参数。

您可以找到供应商标识符的完整列表互联网号码分配机构(IANA)网站。例如，RSA安全的供应商标识符是2197,Microsoft的是311,Cisco Systems的是9。供应商支持的特定于供应商的属性必须与供应商确认。例如，Microsoft在web上发布了一个供应商特定属性的列表特定于Microsoft供应商的RADIUS属性。

用户可以选择任意厂商的属性，在该厂商的RADIUS服务器上存储用户的单点登录密码。如果使用RADIUS服务器上存储用户密码的厂商标识和属性配置Citrix网关，则Citrix网关在发送给RADIUS服务器的访问请求报文中请求该属性的值。如果RADIUS服务器的响应是access-accept报文中相应的属性值对，则无论使用哪种RADIUS服务器，密码返回都有效。

使用返回的密码配置单点登录。

1. 在配置实用程序中，在configuration选项卡上展开Citrix网关>策略>身份验证。
2. 2 .在导航栏中单击半径。
3. 在详细信息窗格中，单击添加。
4. 在创建认证策略对话框中，在“名称”中键入策略的名称。
5. 旁边服务器,点击新。
6. 在名字，输入服务器的名称。
7. 2 .配置RADIUS服务器。
8. 在供应商标识符，输入RADIUS服务器返回的供应商标识符。此标识符的最小值必须为1。
9. 在密码属性类型，输入RADIUS服务器在厂商特定的AVP代码中返回的属性类型。取值范围是1 ~ 255。
10. 在创建认证策略对话框，旁边命名表达式，选择表达式，单击添加表情,点击创建，然后点击关闭。