Autenticacion半径

Como ocurre con otros tipos de directivas de autenticación, una directiva de autenticación con servicio de usuario telefónico (RADIUS) de autenticación remota se compone de una expresión y una acción. Después de crear una directiva de autenticación, la enlaza a un servidor virtual de autenticación y le asigna una prioridad. Al vincularlo, también lo designa como directiva principal o secundaria. Sin embargo, la configuración de una directiva de autenticación RADIUS tiene ciertos requisitos especiales que se describen a continuación.

Normalmente, el NetScaler se configura para utilizar la dirección IP del servidor de autenticación durante la autenticación. Con los servidores de autenticación RADIUS, ahora puede configurar el ADC para que utilice el FQDN del servidor RADIUS en lugar de su dirección IP para autenticar a los usuarios. El uso de un FQDN puede simplificar una configuración de autenticación, autorización y auditoría mucho más compleja en entornos en los que el servidor de autenticación puede estar en cualquiera de varias direcciones IP, pero siempre usa un único FQDN. Para configurar la autenticación mediante el FQDN de un servidor en lugar de su dirección IP, siga el proceso de configuración normal, excepto cuando cree la acción de autenticación. Al crear la acción, sustituya el parámetroServerNamepor el parámetroServerIP.

Antes de decidir si desea configurar NetScaler para que utilice la IP o el FQDN de su servidor RADIUS para autenticar a los usuarios, tenga en cuenta que configurar la autenticación, la autorización y la auditoría para autenticarse en un FQDN en lugar de en una dirección IP añade un paso adicional al proceso de autenticación. Cada vez que el ADC autentica a un usuario, debe resolver el FQDN. Si muchos usuarios intentan autenticarse simultáneamente, las búsquedas de DNS resultantes pueden ralentizar el proceso de autenticación.

Nota

Estas instrucciones asumen que ya está familiarizado con el protocolo RADIUS y que ya ha configurado el servidor de autenticación RADIUS elegido.

帕拉在una accionde autenticación para un servidor RADIUS mediante la interfaz de línea de comandos

Si se autentica en un servidor RADIUS, debe agregar una acción de autenticación explícita. Para ello, en la línea de comandos, escriba el siguiente comando:

add authentication radiusAction  [-serverip  | -serverName] ][-serverPort ] [-authTimeout ] {-radKey } [-radNASip ( ENABLED | DISABLED )][-radNASid ] [-radVendorID ][-radAttributeType ][-radGroupsPrefix ] [-radGroupSeparator ][-passEncoding ][-ipVendorID ] [-ipAttributeType ][-accounting ( ON | OFF )][-pwdVendorID  [-pwdAttributeType ]] [-defaultAuthenticationGroup ] [-callingstationid ( ENABLED | DISABLED )] 

El siguiente ejemplo agrega una acción de autenticación RADIUS denominadaAuthn-Act-1, con la IP del servidor10.218.24.65, el puerto del servidor1812, el tiempo de espera de autenticación de15minutos, la clave de radiowareTheLorax, la IP del NAS inhabilitada y el ID de NAS NAS1.

add authentication radiusaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1 Done 

El siguiente ejemplo agrega la misma acción de autenticación RADIUS, pero con el servidor FQDNrad01.example.comen lugar de la IP.

add authentication radiusaction Authn-Act-1 -serverName rad01.example.com -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1 Done 

Para configurar una acción de autenticación para un servidor RADIUS externo mediante la línea de comandos

Para configurar una acción RADIUS existente, en la línea de comandos, escriba el siguiente comando:

set authentication radiusAction  [-serverip  | -serverName] ][-serverPort ] [-authTimeout ] {-radKey } [-radNASip ( ENABLED | DISABLED )][-radNASid ] [-radVendorID ][-radAttributeType ][-radGroupsPrefix ] [-radGroupSeparator ][-passEncoding ][-ipVendorID ] [-ipAttributeType ][-accounting ( ON | OFF )][-pwdVendorID  [-pwdAttributeType ]] [-defaultAuthenticationGroup ] [-callingstationid ( ENABLED | DISABLED )] 

Para eliminar una acción de autenticación para un servidor RADIUS externo mediante la interfaz de línea de comandos

Para eliminar una acción RADIUS existente, en el símbolo del sistema, escriba el siguiente comando:

rm authentication radiusAction  

Ejemplo

rm authentication radiusaction Authn-Act-1 Done 

Para configurar un servidor RADIUS mediante la utilidad de configuración

Nota

En la utilidad de configuración, se utiliza el término servidor en lugar de acción, pero se refiere a la misma tarea.

1. Vaya aSeguridad > AAA: tráfico de aplicaciones > Directivas > Autenticación > Radius

2. En el panel de detalles, en la fichaServidores, realice una de las siguientes acciones:

   • Para crear un nuevo servidor RADIUS, haga clic enAgregar.
   • Para modificar un servidor RADIUS existente, seleccione el servidor y, a continuación, haga clic enEditar.

3. En el cuadro de diálogoCrear servidor RADIUSdeautenticación o Configurar servidor RADIUSde autenticación, escriba o seleccione valores para los parámetros. Para completar los parámetros que aparecen debajo deSend Calling Station ID, expandaDetalles.

   • Nombre*: radiusActionName (no se puede cambiar para una acción previamente configurada)
   • Tipo de autenticación*: AuthType (establecido en RADIUS, no se puede cambiar)

   • Nombre del servidor/Dirección IP*: elija el nombre del servidor o la IP del servidor

     • Nombre del servidor*—serverName
     • Dirección IP*—serverIp Si al servidor se le asigna una dirección IP IPv6, active la casilla de verificación IPv6.
   • Puerto*: puerto del servidor
   • Tiempo de espera (segundos) * —authTimeout
   • Clave secreta*: RadKey (secreto compartido de RADIUS).
   • Confirmar clave secreta*: escriba el secreto compartido de RADIUS por segunda vez. (Sin equivalente en la línea de comandos).
   • Enviaridentificador de estación llamante—identificador de estación de llamada
   • Identificador de proveedores de grupo: RadVendoriD
   • Tipo de atributo de grupo: RadAttributeType
   • Identificador de proveedor de direcciones IP: IPvendorID
   • ID de proveedor de PWD — ID de proveedor de PWD
   • Codificación de contraseñas: codificación de pasajeros
   • Grupo de autenticación predeterminado: Grupo de autenticación predeterminado
   • ID de NAS: ID de radar
   • Habilitar la extracción de direcciones IP del NAS — RADNASIP
   • Prefijo de grupo — RadGroupsPrefix
   • Separador de grupos — RadGroupSeparator
   • Tipo de atributo de dirección IP: IPAttributeType
   • Tipo de atributo de contraseña: pwdAttributeType
   • Contabilidad: contabilidad
4. Haga clic enCrearoAceptar. La directiva que ha creado aparece en la página Servidores.

Soporte para pasar por el atributo RADIUS 66 (Tunnel-Client-Endpoint)

El dispositivo NetScaler ahora permite la transferencia del atributo RADIUS 66 (Tunnel-Client-Endpoint) durante la autenticación RADIUS. Al aplicar esta función, la dirección IP del cliente se recibe mediante una autenticación de segundo factor al encomendar la toma de decisiones de autenticación basadas en el riesgo.

Se introduce el nuevo atributo “TunnelEndPointClientIp” en los comandos “add authentication RadiusAction” y “set RadiusParams”.

Para utilizar esta función, en la línea de comandos del dispositivo NetScaler, escriba:

add authentication radiusAction  {-serverIP  | {-serverName }} [-serverPort ] … [-tunnelEndpointClientIP (ENABLED|DISABLED)] set radiusParams {-serverIP  |{-serverName }} [-serverPort] … [-tunnelEndpointClientIP(ENABLED|DISABLED)] 

Ejemplo

添加身份验证radiusAction半径硒verIP 1.217.22.20 -serverName FQDN -serverPort 1812 -tunnelEndpointClientIp ENABLED set radiusParams -serverIp 1.217.22.20 -serverName FQDN1 -serverPort 1812 -tunnelEndpointClientIP ENABLED 

Compatibilidad con la validación de la autenticación RADIUS de extremo a extremo

El dispositivo NetScaler ahora puede validar la autenticación RADIUS de extremo a extremo mediante una GUI. Para validar esta función, se introduce un nuevo botón de “prueba” en la GUI. El administrador de un dispositivo NetScaler puede aprovechar esta función para lograr los siguientes beneficios:

• Consolida el flujo completo (motor de paquetes — daemon aaa — servidor externo) para proporcionar un mejor análisis
• Reduce el tiempo de validación y resolución de problemas relacionados con casos individuales

Tiene dos opciones para configurar y ver los resultados de las pruebas de autenticación de extremo a extremo de RADIUS mediante la interfaz gráfica de usuario.

Desde la opción del sistema

1. Vaya aSistema > Autenticación > Directivas básicas > RADIUS y hagaclic en la fichaServidores.
2. Seleccione laacción RADIUSdisponible de la lista.
3. En la páginaConfigurar el servidor RADIUS de autenticación, tiene dos opciones en la secciónConfiguración de conexiones.
4. Para comprobar la conexión del servidor RADIUS, haga clic en la fichaProbar la accesibilidad de RADIUS.
5. Para ver la autenticación RADIUS de extremo a extremo, haga clic en el enlaceProbar la conexión del usuario final.

Desde la opción de autenticación

1. Vaya aAutenticación > Panelde control y seleccione la acción RADIUS disponible en la lista.
2. En la páginaConfigurar el servidor RADIUS de autenticación, tiene dos opciones en la secciónConfiguración de conexiones.
3. Para comprobar la conexión del servidor RADIUS, haga clic en la fichaProbar la accesibilidad de RADIUS.
4. Para ver el estado de la autenticación RADIUS de extremo a extremo, haga clic en el enlaceProbar la conexión del usuario final.