半径認証
他の種類の認証ポリシーと同様に,リモート認証ダイヤルインユーザーサービス(半径)認証ポリシーは,式とアクションで構成されます。認証ポリシを作成したら,それを認証仮想サバにバンドし,プラオリティを割り当てます。また,バンドするときは,プラ。ただし,半径認証ポリシ,を設定するには,次に説明する特定の特別な要件があります。
通常,認証時に認証サ,バ,のIPアドレスを使用するようにCitrix ADCを構成します。半径認証サーバを使用すると、IP アドレスではなく RADIUS サーバの FQDN を使用してユーザを認証するように ADC を設定できるようになりました。FQDN を使用すると、認証サーバが複数の IP アドレスのいずれかに存在し、常に 1 つの FQDN を使用する環境において、より複雑な認証、承認、および監査の構成を簡素化できます。IP アドレスの代わりにサーバーの FQDN を使用して認証を構成するには、認証アクションを作成する場合を除き、通常の構成プロセスに従います。アクションを作成するときは、serverIPパラメ,タをserverNameパラメ,タに置き換えます。
ユーザーの認証に半径サーバーのIPまたはFQDNを使用するようCitrix ADCを構成するかを決定する前に,IPアドレスの代わりにFQDNに対して認証を行うように認証,承認,および監査を構成すると,認証プロセスに余分な手順が追加されることを検討してください。Adcは,ユ,ザを認証するたびに,fqdnを解決する必要があります。多数のユーザーが同時に認証を試みると,結果として生じるDNSルックアップによって認証プロセスが遅くなる可能性があります。
注
これらの手順は,すでに半径プロトコルに精通しており,選択した半径認証サーバをすでに設定していることを前提としています。
コマンドランンタフェスを使用して半径サバの認証アクションを追加するには
半径サ,バに対して認証を行う場合は,明示的な認証アクションを追加する必要があります。これを行うには,コマンドプロンプトで次のコマンドを入力します。
add authentication radiusAction [-serverip | -serverName] ][-serverPort ] [-authTimeout ] {-radKey} [-radNASip (ENABLED | DISABLED)][-radNASid ][-radVendorID ][-radAttributeType ][-radGroupsPrefix ][-radGroupSeparator ][-passEncoding ][-ipVendorID ][-ipAttributeType ][-accounting (ON | OFF)][-pwdVendorID [-pwdAttributeType ]] [-defaultAuthenticationGroup ] [-callingstationid (ENABLED | DISABLED)]
次の例では,Authn-Act-1という名前のradius認証アクションを追加します。このアクションには,サ,バIP10.218.24.65,サ,バポ,ト1812,認証タescムアウト15分,半径キWareTheLorax, nas IPが無効,nas idが含まれます。NAS1.
add authentication radiusaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1 Done
次の例では,同じ半径認証アクションを追加しますが,ipの代わりにサ,バFQDNrad01.example.comを使用します。
add authentication radiusaction Authn-Act-1 -serverName rad01.example.com -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1 Done
コマンドランを使用して外部半径サバの認証アクションを構成するには
既存のradiusアクションを構成するには,コマンドプロンプトで次のコマンドを入力します。
set authentication radiusAction [-serverip | -serverName] ][-serverPort ] [-authTimeout ] {-radKey} [-radNASip (ENABLED | DISABLED)][-radNASid ][-radVendorID ][-radAttributeType ][-radGroupsPrefix ][-radGroupSeparator ][-passEncoding ][-ipVendorID ][-ipAttributeType ][-accounting (ON | OFF)][-pwdVendorID [-pwdAttributeType ]] [-defaultAuthenticationGroup ] [-callingstationid (ENABLED | DISABLED)]
コマンドランンタフェスを使用して外部半径サバの認証アクションを削除するには
既存のradiusアクションを削除するには,コマンドプロンプトで次のコマンドを入力します。
rm authentication radiusAction
例
rm authentication radiusaction Authn-Act-1 Done
構成ユ,ティリティを使用して半径サ,バを構成するには
注
構成ユーティリティでは,“アクション”ではなく”サーバー”という用語が使用されますが,同じタスクを指します。
- [セキュリティ]> [AAA -アプリケーショントラフィック]>[ポリシー]>[認証)>(半径)に移動します。
詳細ウィンドウの[サバ]タブで,次のいずれかの操作を行います。
- 新しい半径サ,バを作成するには,[添加]をクリックします。
- 既存の半径サ,バを変更するには,サ,バを選択し,[编辑]をクリックします。
[認証radiusサ,バ,の作成]または[認証radiusサ,バ,の構成]ダ@アログで,パラメ@タの値を入力または選択します。[発信ステションidを送信]の下に表示されるパラメ,タを入力するには,[詳細]を展開します。
- 名前* -radiusActionName(以前に設定されたアクションでは変更できません)
- 認証タ▪▪プ*:authtype(RADIUSに設定され,変更不可)
サバ名/ IPアドレス*:サバ名またはサバIPのいずれかを選択します。
- サ,バ,名* -serverName
.使用本文 - IPアドレス*:serverIp < IP >サーバにIPv6 IPアドレスが割り当てられている場合は,(IPv6)チェックボックスをオンにします。
- サ,バ,名* -serverName
- ポ,ト*:serverPort
- タ▪▪ムアウト(秒)* -authTimeout
- シ,クレットキ,*:radKey(RADIUS共有シ,クレット)
- 確認シ,クレットキ,*:radius共有シ,クレットをもう一度入力します。(コマンドラaapl . aapl .ンに相当するものはありません)。
- 発信側ステ,ションIDの送信:callingstationid
- グル,プベンダ,識別子:radVendorID
- グルプ属性タプ-radAttributeType
- IPアドレスベンダ,識別子:ipVendorID
- pwdベンダ- ID-pwdVendorID
- パスワ,ドエンコ,ディング:passEncoding
- デフォルト認証グル,プ:defaultAuthenticationGroup . cn
- NAS ID-radNASid
- NASのIPアドレス抽出を有効にする:radNASip
- グル,ププレフィクス-radGroupsPrefix
- グル,プ,セパレ,タ-radGroupSeparator
- IPアドレス属性タiphonesプ:ipAttributeType
- パスワド属性タプ:pwdAttributeType
- アカウンティング:会计
- [作成]または[好的]をクリックします。作成したポリシ,が[服务器]ペ,ジに表示されます。
半径属性66を通過するサポト(トンネル-クラアントエンドポント)
Citrix ADCアプライアンスは,半径認証中に半径属性66(トンネル——クライアントエンドポイント)のパススルーを許可するようになりました。この機能を適用することで,クライアントのIPアドレスが第2要素認証によって受信され,リスクベースの認証の決定が委託されます。
“添加身份验证radiusAction”コマンドと“radiusParams”コマンドの両方に,新しい属性“tunnelEndpointClientIPが導入されました。
この機能を使用するには,Citrix ADCアプライアンスのコマンドプロンプトで次のように入力します。
add authentication radiusAction {-serverIP |{-serverName }} [-serverPort]…[-tunnelEndpointClientIP(ENABLED|DISABLED)] set radiusParams {-serverIP |{-serverName }} [-serverPort]…[-tunnelEndpointClientIP(ENABLED|DISABLED)]
例
add authentication radiusAction radius -severIP 1.217.22.20 -serverName FQDN -serverPort 1812 -tunnelEndpointClientIp ENABLED set radiusParams -serverIp 1.217.22.20 -serverName FQDN1 -serverPort 1812 -tunnelEndpointClientIp ENABLED
エンドエンドのradius認証の検証のサポ
Citrix ADCアプライアンスは,GUIを使用してエンドツーエンドの半径認証を検証できるようになりました。この機能を検証するために,guiに新しい“テスト”ボタンが導入されました。Citrix ADCアプライアンス管理者は、この機能を利用して、次のメリットを得ることができます。
- 完全なフロー(パケットエンジンaaaデーモン——外部サーバ)を統合し,より優れた分析を提供します。
- 個々のシナリオに関連する問題の検証とトラブルシュ,ティングにかかる時間を短縮
GUIを使用して半径エンドツーエンド認証のテスト結果を設定および表示するには,2つのオプションがあります。
システム·オプションから
- [システム]>[認証]>[基本ポリシ]> [radius]に移動し,[サ,バ,]タブをクリックします。
- リストから使用可能な半径アクションを選択します。
- [認証radiusサ,バ,の構成]ペ,ジで,[接続の設定]セクションに2のオプションがあります。
- 半径サ,バの接続を確認するには,[半径到達可能性のテスト]タブをクリックします。
- エンドエンド半径認証を表示するには,[エンドユ,ザ接続のテスト]リンクをクリックします。
“認証から”オプション
- [認証]>[ダッシュボ,ド]に移動し,リストから使用可能な半径アクションを選択します。
- [認証radiusサ,バ,の構成]ペ,ジで,[接続の設定]セクションに2のオプションがあります。
- 半径サ,バの接続を確認するには,[半径到達可能性のテスト]タブをクリックします。
- エンドエンド半径認証ステタスを表示するには,[エンドユ,ザ接続のテスト]リンクをクリックします。