半径身份验证
与其他类型的身份验证策略一样,远程身份验证拨号用户服务(半径)身份验证策略由表达式和操作组成。创建身份验证策略后,将其绑定到身份验证虚拟服务器并为其分配优先级。绑定它时,您还将其指定为主策略或辅助策略。但是,设置半径身份验证策略具有下面介绍的某些特殊要求。
通常,您可以将Citrix ADC配置为在身份验证期间使用身份验证服务器的IP地址。借助半径身份验证服务器,您现在可以将ADC配置为使用半径服务器的FQDN而不是其IP地址对用户进行身份验证。在身份验证服务器可能位于多个IP地址中的任何一个,但始终使用单个FQDN的环境中,使用FQDN可以简化更复杂的身份验证,授权和审核配置。要通过使用服务器的FQDN而不是其IP地址来配置身份验证,请遵循正常的配置过程,除非创建身份验证操作。创建操作时,您将serverName参数替换为serverIP参数。
在决定是否将Citrix ADC配置为使用半径服务器的IP还是FQDN对用户进行身份验证之前,请考虑将身份验证,授权和审核配置为对FQDN而不是IP地址进行身份验证,将为身份验证过程添加额外的步骤。每次ADC对用户进行身份验证时,都必须解析FQDN。如果许多用户尝试同时进行身份验证,则生成的DNS查找可能会减慢身份验证过程。
注意
这些说明假定您已经熟悉半径协议,并已配置您选择的半径身份验证服务器。
使用命令行界面为半径服务器添加身份验证操作
如果向半径服务器进行身份验证,则需要添加显式身份验证操作。若要执行此操作,请在命令提示符下键入以下命令:
add authentication radiusAction [-serverip | -serverName] ][-serverPort ] [-authTimeout ] {-radKey} [-radNASip (ENABLED | DISABLED)][-radNASid ][-radVendorID ][-radAttributeType ][- radgroupprefix ][-radGroupSeparator ][-passEncoding][-ipVendorID ][-ipAttributeType ][-accounting (ON | OFF)][-pwdVendorID [-pwdAttributeType ]] [-defaultAuthenticationGroup ] [-callingstationid (ENABLED | DISABLED)] 以下示例添加了一个名为Authn-Act-1半径的身份验证操作,其中包括服务器IP10.218.24.65、服务器端口1812、身份验证超时15分钟,半径密钥WareTheLoraxNAS IP残疾和NAS IDNAS1。
add authentication radiusaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1 Done 以下示例添加了相同的半径身份验证操作,但使用服务器FQDNrad01.example.com而不是 知识产权
add authentication radiusaction Authn-Act-1 -serverName rad01.example.com -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1 Done 使用命令行为外部半径服务器配置身份验证操作
要配置现有半径操作,请在命令提示符处键入以下命令:
设置认证radiusAction [-serverip | -serverName] ][-serverPort ] [-authTimeout ] {-radKey} [-radNASip (ENABLED | DISABLED)][-radNASid ][-radVendorID ][-radAttributeType ][- radgroupprefix ][-radGroupSeparator ][-passEncoding][-ipVendorID ][-ipAttributeType ][-accounting (ON | OFF)][-pwdVendorID [-pwdAttributeType ]] [-defaultAuthenticationGroup ] [-callingstationid (ENABLED | DISABLED)] 使用命令行界面删除外部半径服务器的身份验证操作
若要删除现有半径操作,请在命令提示符下键入以下命令:
rm authentication radiusAction 示例
rm authentication radiusaction Authn-Act-1 Done 使用配置实用程序配置半径服务器
注意
在配置实用程序中,使用术语服务器而不是操作,但指的是相同的任务。
- 导航到安全 > AAA-应用程序流量 > 策略 > 身份验证 > 半径
在详细信息窗格中”的服务器“选项卡上,执行以下操作之一:
- 若要创建新半径的服务器,请单击添加。
- 若要修改现有半径服务器,请选择该服务器,然后单击编辑。
在“创建身份验证半径服务器“或”配置身份验证半径服务器“对话框中,键入或选择参数的值。要填写发送呼叫站ID下方显示的参数,请展开详细信息。
- 名称*— radiusActionName(无法更改之前配置的操作)
- 身份验证类型* - authtype(设置为半径,无法更改)
服务器名称/ IP地址*——选择服务器名称或服务器IP
- 服务器名称*——serverName < FQDN >
- IP地址* -serverIp < IP >如果为服务器分配了IPv6 IP地址,请选中IPv6复选框。
- 端口*——serverPort
- 超时(秒)* - authTimeout
- 密钥* - radKey(半径共享密钥)
- 确认密钥*——第二次键入半径共享密钥。(没有等效的命令行)。
- 发送呼叫站ID -呼叫站ID
- 组供应商标识符——radVendorID
- 组属性类型——radAttributeType
- IP地址供应商标识符——ipVendorID
- pwdVendorID-pwdVendorID
- 密码编码——passEncoding
- 默认身份验证组——defaultAuthenticationGroup
- NAS ID-radNASid
- 启用NAS IP地址提取——radNASip
- 组前缀——radGroupsPrefix
- 组分隔符 - 放射性基团分离器
- IP地址属性类型——ipAttributeType
- 密码属性类型——pwdAttributeType
- 会计——会计
- 单击创建(创建)或好吧(确定)。您创建的策略将显示在“服务器”页面中。
66支持通过半径属性(隧道——客户端端点)
Citrix ADC设备现在允许在 半径身份验证期间直通 半径属性 66(隧道-客户端端点)。通过应用此功能,客户端 知识产权地址通过委托进行第二因素身份验证接收,从而做出基于风险的身份验证决策。
在“添加身份验证radiusAction”和“设置radiusParams”命令中引入了一个新属性“tunnelEndpointClientIP”。
要使用此功能,请在Citrix ADC设备命令提示符处键入:
add authentication radiusAction {-serverIP |{-serverName }} [-serverPort]…[-tunnelEndpointClientIP(ENABLED|DISABLED)] set radiusParams {-serverIP |{-serverName }} [-serverPort]…——NeedCopy > 示例
添加身份验证半径操作半径-服务器IP 1.217.22.20-服务器名FQDN-服务器端口1812-tunnelEndpointClientIp启用设置半径参数-服务器IP 1.217.22.20-服务器名FQDN1-服务器端口1812-tunnelEndpointClientIp启用<!--NeedCopy-->支持验证端到端半径身份验证
Citrix ADC设备现在可以通过GUI验证端到端半径身份验证。为了验证此功能,GUI中引入了一个新的“测试”按钮。Citrix ADC设备管理员可以利用此功能实现以下优势:
- 整合完整的流程(数据包引擎——aaa级守护进程——外部服务器),以提供更好的分析
- 缩短验证和故障排除与单个场景相关的问题的时间
您有两个选项可以通过使用GUI来配置和查看半径端到端身份验证的测试结果。
从系统选项
- 导航到系统>身份验证>基本策略>半径,单击服务器选项卡。
- 从列表中选择可用的半径操作。
- 在“配置身份验证半径服务器”页上,在“连接设置”部分下有两个选项。
- 若要检查半径服务器连接,请单击测试半径可达性选项卡。
- 要查看端到端半径身份验证,请单击测试最终用户连接链接。
从身份验证选项
- 导航到”身份验证”>“仪表板”,从列表中选择可用的半径操作。
- 在“配置身份验证半径服务器”页上,在“连接设置”部分下有两个选项。
- 若要检查半径服务器连接,请单击测试半径可达性选项卡。
- 要查看端到端半径身份验证状态,请单击测试最终用户连接链接。