配置RADIUS组提取

可以通过组提取的方式配置RADIUS授权。通过配置组提取，可以管理RADIUS服务器上的用户，而不是将用户添加到Citrix Gateway。

通过认证策略配置RADIUS授权，配置组厂商标识、组属性类型、组前缀和组分隔符。在配置策略时，需要添加一个表达式，然后将策略全局绑定或绑定到虚拟服务器。

在Windows Server 2003上配置RADIUS

如果在Windows Server 2003上使用Microsoft Internet Authentication Service (IAS)进行RADIUS授权，在配置Citrix Gateway时需要提供以下信息:

• 供应商ID是您在IAS中输入的特定于供应商的代码。
• 类型是供应商分配的属性编号。
• 属性名是您在IAS中定义的属性名的类型。默认名称为CTXSUserGroups=

如果RADIUS服务器上没有安装IAS，可以通过“控制面板”中的“添加或删除程序”进行安装。有关更多信息，请参见Windows联机帮助。

要配置IAS，请使用Microsoft Management Console (MMC)并安装IAS的管理单元。按照向导，确保您选择了以下设置:

• 选择本地计算机。
• 选择“远程访问策略”，创建自定义策略。
• 为策略选择Windows-Groups。
• 选择以下协议之一:
  • Microsoft Challenge-Handshake认证协议版本2 (MS-CHAP v2)
  • Microsoft Challenge-Handshake Authentication Protocol (MS-CHAP)
  • CHAP (Challenge-Handshake Authentication Protocol)认证协议
  • 未加密身份验证(PAP、SPAP)

• 选择Vendor-Specific Attribute。

  Vendor-Specific Attribute需要将您在服务器上定义的组中的用户与Citrix Gateway上的用户进行匹配。为了满足这个要求，您将特定于供应商的属性发送到Citrix网关。确保你选择了RADIUS=Standard。

• RADIUS的缺省值是0。使用这个数字作为供应商代码。

• 供应商分配的属性号是0。

  这是为“用户组”属性分配的号码。属性是字符串格式的。

• 选择String作为属性格式。

  Attribute值需要属性名和组。

  接入网关的属性值为CTXSUserGroups=groupname。如果定义了两个组，例如sales和finance，则属性值为CTXSUserGroups=sales;finance。用分号分隔每一组。

• 删除“编辑拨号配置文件”对话框中的所有其他条目，保留“特定于供应商”的条目。

在IAS中配置“远端访问策略”后，还需要在Citrix Gateway上配置RADIUS认证授权。

配置RADIUS认证时，请使用在IAS服务器上配置的配置。

Windows Server 2008下配置RADIUS认证

在Windows Server 2008操作系统中，使用NPS (Network Policy Server)代替IAS (Internet authentication Service)配置RADIUS认证和授权。您可以通过“服务器管理器”，将NPS添加为角色安装NPS。

安装NPS时，请选择“Network Policy Service”。安装完成后，您可以通过启动“开始”菜单上的“管理服务”启动NPS来配置网络的RADIUS设置。打开NPS时，需要先将Citrix Gateway添加为RADIUS客户端，然后再配置服务器组。

配置RADIUS客户端时，请确保选择了以下设置:

• 厂商名称选择“RADIUS Standard”。
• 注意共享秘密，因为您需要在Citrix Gateway上配置相同的共享秘密。

对于RADIUS组，需要配置RADIUS服务器的IP地址或主机名。请不要更改默认设置。

完成RADIUS客户端和RADIUS组的配置后，需要配置以下两个策略:

• 连接请求策略，用于配置Citrix Gateway连接的设置，包括网络服务器类型、网络策略的条件和策略的设置。
• 网络策略，其中配置可扩展认证协议(EAP)认证和特定于供应商的属性。

配置连接请求策略时，网络服务器类型选择“未指定”。然后通过选择NAS端口类型作为条件并选择Virtual (VPN)作为值来配置条件。

配置网络策略时，需要进行以下配置:

• 网络接入服务器类型选择“远程接入服务器(VPN拨号)”。

• 选择EAP的加密认证(CHAP)和非加密认证(PAP和SPAP)。

• 厂商属性选择RADIUS标准。

  默认属性号为26。该属性用于RADIUS授权。

  Citrix Gateway需要特定于供应商的属性来匹配服务器上组中定义的用户与Citrix Gateway上定义的用户。这是通过向Citrix Gateway发送特定于供应商的属性来实现的。

• 选择String作为属性格式。

  Attribute值需要属性名和组。

  对于Citrix网关，该属性值为CTXSUserGroups= groupname。如果定义了两个组，例如sales和finance，则属性值为CTXSUserGroups=sales;finance。用分号分隔每一组。

• 分隔符是在NPS中用来分隔组的，例如分号、冒号、空格或句点。

完成IAS中的远程访问策略配置后，可以在Citrix Gateway上配置RADIUS认证授权。