配置nFactor身份验证

可以使用nFactor配置而不仅仅是两个因素配置多个身份验证因素。nFactor配置仅在Citrix ADC先进和高级版中受支持。

配置nFactor的方法

可以通过以下方法之一配置nFactor身份验证:

• nFactor可视化工具:通过nFactor可视化工具,您可以在单个窗格中轻松将因素或策略标签链接在一起,还可以更改同一窗格中多个因素的链接。可以使用可视化工具创建nFactor流,然后将该流绑定到Citrix ADC AAA虚拟服务器。有关nFactor可视化器和使用可视化工具的nFactor配置示例的详细信息,请参阅nFactor可视化器了解简化配置。

• Citrix ADC GUI:有关详细信息，请参阅nFactor配置中涉及的配置元素部分。

• Citrix ADC CLI:有关使用Citrix ADC CLI的nFactor配置上的示例片段,请参阅使用Citrix ADC CLI上的nFactor配置上的示例片段。

重要：本主题包含有关使用Citrix ADC GUI配置nFactor的详细信息。

nFactor配置中涉及的配置元素

配置nFactor时涉及以下元素。有关详细步骤，请参阅本主题中的相应部分。

配置元素	要执行的任务
AAA虚拟服务器	创建AAA虚拟服务器
	将门户主题绑定到AAA虚拟服务器
	启用客户端证书身份验证
登录架构	配置 登录架构配置文件
	创建并绑定登录架构策略
高级身份验证策略	创建高级身份验证策略
	将第一个因素高级身份验证策略绑定到Citrix ADC AAA虚拟服务器
	使用提取的LDAP组选择下一个身份验证因素
身份验证策略标签	创建身份验证策略标签
	绑定身份验证策略标签
适用于Citrix网关的nFactor	创建身份验证配置文件以将Citrix ADC AAA虚拟服务器与Citrix网关虚拟服务器
	为Citrix网关配置SSL参数和CA证书
	为nFactor单点登录配置Citrix网关到店面的流量策略

nFactor的工作原理

当用户连接到Citrix ADC AAA或Citrix网关虚拟服务器时,发生的事件顺序如下:

1. 如果使用基于表单的身份验证,则会显示绑定到Citrix ADC AAA虚拟服务器的登录架构。

2. 系统将评估绑定到Citrix ADC AAA虚拟服务器的高级身份验证策略。
   • 如果高级身份验证策略成功，并且配置了下一个因素（身份验证策略标签），则将评估下一个因素。如果未配置“下一个因素”(下一因素),身份验证将完成且成功。
   • 如果高级身份验证策略失败,并且“Goto表达式”设置为“下一个”,则将评估下一个绑定的高级身份验证策略。如果高级身份验证策略都没有成功，身份验证将失败。
3. 如果下一个因素身份验证策略标签绑定了登录架构，则会向用户显示该标签。
4. 系统将评估绑定到下一个因素身份验证策略标签的高级身份验证策略。
   • 如果高级身份验证策略成功，并且配置了下一个因素（身份验证策略标签），则将评估下一个因素。
   • 如果未配置“下一个因素”(下一因素),身份验证将完成且成功。

5. 如果高级身份验证策略失败,并且“Goto表达式”设置为“下一个”,则将评估下一个绑定的高级身份验证策略。

6. 如果高级身份验证策略都没有成功，身份验证将失败。

AAA虚拟服务器

要将nFactor与Citrix网关结合使用,请先在AAA虚拟服务器上进行配置。稍后请将AAA虚拟服务器链接到Citrix网关虚拟服务器。

创建AAA虚拟服务器

1. 如果尚未启用AAA功能,请导航至安全(安全)> AAA -应用程序流量(AAA -应用程序流量)，然后单击鼠标右键以启用功能。

2. 导航到配置(配置)>安全(安全)> AAA -应用程序流量(AAA -应用程序流量)>虚拟服务器(虚拟服务器)。

3. 单击添加（添加）创建身份验证虚拟服务器。

4. 输入以下信息，然后单击好吧（确定）。

   参数名称	参数说明
   名称	AAA虚拟服务器的名称。
   IP地址类型	如果此虚拟服务器仅用于Citrix网关,请将“IP地址类型”(IP地址类型)更改为非可寻址（不可寻址）。

5. 在“证书”(证书)下,选择没有服务器证书（无服务器证书）。

6. 单击文本，单击以选中（单击以选择）以选择服务器证书。

7. 单击AAA虚拟服务器证书旁边的单选按钮,然后单击选择（选择）。选择的证书无关紧要，因为此服务器无法直接访问。

8. 单击绑定（绑定）。

9. 单击继续（继续）以关闭证书（证书）部分。

10. 单击继续。

将门户主题绑定到AAA虚拟服务器

1. 导航到Citrix网关>门户主题（门户主题），然后添加主题。可以在Citrix网关下创建主题,然后将其绑定到AAA虚拟服务器。

2. 基于RfWebUI模板主题创建主题。

3. 根据需要调整主题后，在门户主题编辑页面顶部，单击单击绑定并查看配置的主题（单击以绑定并查看已配置的主题）。

4. 将所选选择更改为“身份验证”(身份验证)。在认证虚拟服务器名(身份验证虚拟服务器名称)下拉菜单中,选择AAA虚拟服务器,单击绑定和预览（绑定和预览），然后关闭预览窗口。

启用客户端证书身份验证

如果您的身份验证因素之一是客户端证书,则必须在AAA虚拟服务器上执行一些SSL配置:

1. 导航到交通管理(流量管理)> > SSL证书(证书)> CA证书(CA证书)，然后为客户端证书的颁发者安装根证书。根证书没有密钥文件。

2. 导航到交通管理(流量管理)> SSL >更改高级SSL设置(更改高级SSL设置)。

   一。向下滚动以检查默认的配置（默认配置文件）是否设置为启用（已启用）。如果是，则必须使用 SSL 配置文件启用客户端证书身份验证。否则，可以直接在“SSL Parameters”（SSL 参数）部分中的 AAA 虚拟服务器上启用客户端证书身份验证。

3. 如果默认SSL配置文件未启用:

   一。导航到安全(安全)> AAA -应用程序(AAA -应用程序)>虚拟服务器(虚拟服务器),然后编辑现有的AAA虚拟服务器。

   b。在左侧,在SSL参数(SSL参数)部分中,单击铅笔图标。

   c。选中客户端身份验证（客户端身份验证）旁边的复选框。

   d。确保在客户端证书（客户端证书）下拉菜单中选择了可选（可选），然后单击好吧（确定）。

4. 如果启用了默认SSL配置文件,则创建启用了客户端身份验证的新SSL配置文件:

   一。在左侧菜单中,展开“系统”(系统),然后单击“概要”(配置文件)。

   b。在右上角,切换到“SSL配置文件”(SSL配置文件)选项卡。

   c。右键单击ns_default_ssl_profile_frontend配置文件,然后单击“添加”(添加)。这将从默认配置文件中复制设置。

   d。为配置文件命名。此配置文件的目的是启用客户端证书。

   e。向下滚动并查找“客户机身份验证”(客户端身份验证)复选框。选中该复选框。

   f。将“客户端证书”(客户端证书)下拉列表更改为“可选的”(可选)。

   g。复制默认SSL配置文件不会复制SSL密码,因此您必须重新复制。

   h。创建完SSL配置文件后单击“完成”(完成)。

   我。导航到“安全”(安全)>“AAA -应用程序流量”(AAA -应用程序流量)>“虚拟服务器”(虚拟服务器),并编辑AAA虚拟服务器。

   j。向下滚动到“SSL配置文件”(SSL配置文件)部分,然后单击铅笔。

   k。将“SSL配置文件”(SSL配置文件)下拉列表更改为启用了客户端证书的配置文件。单击OK(确定)。

   l。向下滚动本文,直至达到绑定CA证书的说明。

5. 在左侧，在证书（证书）部分中，单击指示没有CA证书(无CA证书)。

6. 单击文本单击以选中（单击以选择）。

7. 单击客户端证书颁发者的根证书旁边的单选按钮，然后单击选择（选择）。

8. 单击绑定（绑定）。

登录架构XML文件

登录架构是提供基于表单的身份验证登录页面结构的XML文件。

nFactor意味着链接在一起的多个身份验证因素。每个因素可以有不同的登录架构页面/文件。在某些身份验证场景中，用户可能会看到多个登录屏幕。

配置登录架构配置文件

要配置登录架构配置文件，请执行以下操作：

1. 根据nFactor设计创建或编辑登录架构. xml文件。

2. 导航到安全(安全)> AAA >应用程序流量(应用程序流量)>登录模式(登录架构)。

3. 在右侧，切换到配置文件（配置文件）选项卡，然后单击添加（添加）。

4. 在身份验证模式（身份验证架构）字段中，单击铅笔图标。

5. 单击LoginSchema文件夹以查看其中的文件。

6. 选择其中一个文件。您可以在右侧看到预览。可以通过单击右上角的编辑（编辑）按钮更改标签。

7. 保存更改后,将在/ nsconfig LoginSchema下创建一个新文件。

8. 在右上角，单击选择（选择）。

9. 为登录架构命名，然后单击更多的（更多）。

10. 您可能需要将单点登录(SSO)登录模式中输入的用户名和密码用于后端服务,例如店面。

    您可以使用以下任意方法使用登录架构中输入的凭据作为单点登录凭据。

    • 单击创建身份验证登录架构页面底部的更多，然后选择启用单点登录凭据。

    • 单击”创建身份验证登录架构”页底部的“更多”,然后输入用户凭据索引和密码凭据索引的唯一值。这些值可以介于 1 到 16 之间。稍后,您可以使用表达式AAA.USER.ATIBERE(#)在流量策略/配置文件中引用这些索引值。

11. 单击确定创建登录模式配置文件。

    注意：如果稍后编辑登录架构文件(xml),要反映更改,您需要编辑登录架构配置文件并再次选择登录架构(xml)文件。

创建并绑定登录架构策略

要将登录架构配置文件绑定到AAA虚拟服务器,必须首先创建登录架构策略。将登录架构配置文件绑定到身份验证策略标签时，不需要登录架构策略，稍后将详细说明。

要创建和绑定登录模式策略：

1. 导航到安全(安全)> AAA >应用程序流量(应用程序流量)>登录模式(登录架构)。

2. 在政策（策略）选项卡上，单击添加（添加）。

3. 使用配置文件（配置文件）下拉菜单以选择已创建的登录架构配置文件。

4. 在规则(规则)框中输入默认语法表达式(例如真实),然后单击创建（创建）。

5. 在左侧，导航到安全(安全)> AAA -应用程序流量(AAA -应用程序流量)>虚拟服务器(虚拟服务器),然后编辑现有的AAA虚拟服务器。

6. 在“高级设置”(高级设置)列中,单击登录模式（登录架构）。

7. 在“登录模式”(登录架构)部分中,单击文本没有登录模式（无登录架构）。

8. 单击文本单击以选中（单击以选择）。

9. 单击登录模式策略旁边的单选按钮，然后单击选择。此列表中只显示登录模式策略。不会显示登录模式配置文件（没有策略）。

10. 单击绑定（绑定）。

高级身份验证策略

身份验证策略是策略表达式和策略操作的组合。如果表达式为 true，则评估身份验证操作。

创建高级身份验证策略

身份验证策略是策略表达式和策略操作的组合。如果表达式为 true，则评估身份验证操作。

您将需要身份验证操作/服务器(例如LDAP、半径,CERT, SAML等)创建高级身份验证策略时,有一个加号(添加)图标可让您创建身份验证操作/服务器。

或者，您可以在创建高级身份验证策略之前创建身份验证操作（服务器）。身份验证服务器位于身份验证 > 控制面板下。在右侧，单击“Add”（添加），然后选择服务器类型。此处没有详细说明创建这些身份验证服务器的说明。请参阅“身份验证 - NetScaler 12/Citrix ADC 12.1 过程”。

要创建高级身份验证策略，请执行以下操作：

1. 导航到安全(安全)> AAA -应用程序流量(AAA -应用程序流量)>政策(策略)>认证(身份验证)>先进政策(高级策略)>政策(策略)。

2. 在详细信息窗格中，执行以下操作之一：
   • 要创建策略，请单击添加（添加）。
   • 要修改某个现有策略，请选择该策略，然后单击编辑（编辑）。

3. 在创建身份验证策略（创建身份验证策略）或配置身份验证策略（配置身份验证策略）对话框中，键入或选择参数的值。

   • 名称-策略名称。无法对以前配置的策略进行更改。
   • 动作类型(操作类型)-策略类型:Cert,谈判,LDAP、半径,SAML, SAMLIDP, TACACS或WEBAUTH。
   • 操作-与策略关联的身份验证操作（配置文件）。可以选择现有的身份验证操作，也可以单击加号并创建正确类型的操作。
   • 日志操作-与策略关联的审计操作。可以选择现有审核操作，也可以单击加号并创建操作。您没有配置任何操作，或者要创建操作，请单击添加（添加），然后完成这些步骤。
   • 表达式——选择要应用指定操作的连接的规则。规则可以简单(“true”将选择所有流量),也可以复杂。可以通过以下方式输入表达式:先在“表达”(表达式)窗口下方最左侧的下拉列表中选择表达式类型,然后直接在表达式文本区域中键入表达式,或者单击“添加”(添加)以打开“添加表达式”(添加表达式)对话框并使用其中的下拉列表来构造表达式。
   • 评论（注释）- 可以键入描述此身份验证策略适用的流量类型的注释。可选。
4. 单击创建（创建），然后单击关闭（关闭）。如果您创建了策略，该策略将显示在“Authentication Policies”（身份验证策略）和“Servers”（服务器）页面中。

必须根据nFactor设计根据需要创建其他高级身份验证策略。

将第一因素高级身份验证策略绑定到Citrix ADC AAA

可以直接为Citrix ADC AAA虚拟服务器的第一个因素绑定高级身份验证策略。对于接下来的因素，必须将高级身份验证策略绑定到身份验证策略标签。

1. 导航到安全(安全)> AAA -应用程序流量(AAA -应用程序流量)>虚拟服务器(虚拟服务器)。编辑现有虚拟服务器。

1. 在左侧的“高级认证政策”(高级身份验证策略)部分中,单击没有认证政策（无身份验证策略）。

2. 在选择政策（选择策略）中，单击文本单击以选中（单击以选择）。

3. 单击高级身份验证策略旁边的单选按钮，然后单击选择。

4. 在“绑定细节”(绑定详细信息)部分中,转到表达式(转到表达式)确定在此高级身份验证策略失败时接下来会发生什么。
   • 如果转到表达式(转到表达式)设置为下一个,则将评估绑定到此Citrix ADC AAA虚拟服务器的下一个高级身份验证策略。
   • 如果转到表达式(转到表达式)设置为结束,或者如果没有绑定到此Citrix ADC AAA虚拟服务器的高级身份验证策略,身份验证将完成并标记为失败。

5. 在选择Next因素（选择下一个因素）中，可以选择能够指向身份验证策略标签的因素。仅当高级身份验证策略成功时才会评估下一个因素。最后，单击绑定（绑定）。

使用提取的LDAP组选择下一个身份验证因素

可以使用提取的LDAP组来选择下一个身份验证因素,而无需实际使用LDAP进行身份验证。

1. 创建或编辑LDAP服务器或LDAP操作时,请取消选中身份验证（身份验证）复选框。
2. 在其他设置（其他设置）中，请在组属性（组属性）和子属性名（子属性名称）中选择适当的值。

对策略标签进行身份验证

将高级身份验证策略绑定到Citrix ADC AAA虚拟服务器并选择下一个因素时,仅在使用高级身份验证策略时才评估下一个因素。评估的下一个因素是身份验证策略标签。

身份验证策略标签为特定因素指定了身份验证策略的集合。每个策略标签对应于一个因素。它还指定必须向用户显示的登录表单。身份验证策略标签必须绑定为身份验证策略或另一个身份验证策略标签的下一个因素。

注意：每个因素都不需要登录模式。只有将登录架构绑定到身份验证策略标签时，才需要登录架构配置文件。

创建身份验证策略标签

策略标签指定特定因素的身份验证策略。每个策略标签对应于一个因素。策略标签指定必须向用户显示的登录表单。必须将策略标签绑定为身份验证策略或另一个身份验证策略标签的下一个因素。通常情况下，策略标签包括特定身份验证机制的身份验证策略。但是，您也可以拥有针对不同身份验证机制的身份验证策略的策略标签。

1. 导航到安全(安全)> AAA -应用程序流量(AAA -应用程序流量)>政策(策略)>认证(身份验证)>先进政策(高级策略)>政策标签(策略标签)。

2. 单击添加按钮。

3. 填写以下字段以创建身份验证策略标签：

   一)输入新的身份验证策略标签的的名字（名称）。

   b)选择与身份验证策略标签关联的登录模式（登录模式）。如果不想向用户显示任何内容，则可以选择设置为 noschema (LSCHEMA_INT) 的登录架构配置文件。

   c)单击继续（继续）。

4. 在政策约束力（策略绑定）部分中，单击指示单击以选中（单击以选择）的位置。

5. 选择评估此因素的身份验证策略。

6. 填写以下字段：

   一)输入策略绑定的优先级（优先级）。

   b)在转到表达式(转到表达式)中,如果要将更高级的身份验证策略绑定到此因素,请选择下一个，或者选择结束。

7. 在选择Next因素（选择下一个因素）中，如果要添加另一个因素，请单击以选择并绑定下一个身份验证策略标签（下一个因素）。如果未选择下一个因素，并且此高级身份验证策略成功，身份验证将成功并完成。

8. 单击绑定（绑定）。

9. 可以单击添加绑定（添加绑定）将更高级的身份验证策略添加到此策略标签（因素）。完成时单击完成（完成）。

绑定身份验证策略标签

创建策略标签后，将其绑定到绑定到链因素的现有高级身份验证策略。

在编辑绑定了高级身份验证策略的现有Citrix ADC AAA虚拟服务器或编辑其他策略标签以包含下一个因素时,可以选择下一个因素。

编辑已绑定到高级身份验证策略的现有Citrix ADC AAA虚拟服务器

1. 导航到安全> AAA -应用程序流量>虚拟服务器。选择虚拟服务器，然后单击编辑（编辑）。

2. 在左侧的高级认证政策（高级身份验证策略）部分中，单击现有的身份验证策略绑定。

3. 在选择行动（选择操作）中，单击编辑绑定（编辑绑定）。

4. 在选择Next因素（选择下一个因素）中，单击并选择现有的身份验证策略标签（下一个因素）。

5. 单击绑定（绑定）。可以在 最右侧看到下一个因素。

将一个策略标签的下一个因素添加到其他策略标签

1. 导航到安全(安全)> AAA -应用程序流量(AAA -应用程序流量)>政策(策略)>认证(身份验证)>先进政策(高级策略)> PolicyLabel(策略标签)。选择其他策略标签，然后单击编辑（编辑）。

2. 在选择行动（选择操作）中，单击编辑绑定（编辑绑定）。

3. 在绑定细节(绑定详细信息)>选择Next因素(选择下一个因素)中，单击以选择下一个因素。

4. 选择下一个因素的策略标签，然后单击选择（选择）按钮。

5. 单击绑定。可以在右侧看到下一个因素。

适用于Citrix网关的nFactor

要在Citrix网关上启用nFactor,必须将身份验证配置文件链接到Citrix ADC AAA虚拟服务器。

创建身份验证配置文件以将Citrix ADC AAA虚拟服务器与Citrix网关虚拟服务器

1. 导航到Citrix网关>虚拟服务器(虚拟服务器)，然后选择要编辑的现有网关虚拟服务器。

2. 在高级设置（高级设置）中，单击身份验证配置文件（身份验证配置文件）。

3. 单击身份验证配置文件（身份验证配置文件）下的添加（添加）

4. 输入身份验证配置文件的名称，然后单击指示单击以选中（单击以选择）的位置。

5. 在身份验证虚拟服务器（身份验证虚拟服务器）中，选择配置了登录架构、高级身份验证策略和身份验证策略标签的现有服务器。还可以创建身份验证虚拟服务器。Citrix ADCAAA虚拟服务器不需要 IP 地址。单击选择（选择）。

6. 单击创建。

7. 单击好吧(确定)以关闭“身份验证配置文件”(身份验证配置文件)部分。

注意：如果您已将其中一个因素配置为客户端证书,则必须配置SSL参数和CA证书。

完成将身份验证配置文件链接到AAA虚拟服务器后,浏览到Citrix网关时,可以查看nFactor身份验证屏幕。

配置SSL参数和CA证书

如果其中一个身份验证因素为证书,则必须在Citrix网关虚拟服务器上执行一些SSL配置。

1. 导航到交通管理(流量管理)> > SSL证书(证书)> CA证书(CA证书)，然后为客户端证书的颁发者安装根证书。证书颁发机构证书不需要密钥文件。

   如果启用了默认的SSL配置文件,您应已创建启用了客户端身份验证的SSL配置文件。

2. 导航到Citrix网关>虚拟服务器(虚拟服务器),然后编辑为nFactor启用的现有Citrix网关虚拟服务器。

   • 如果启用了默认SSL配置文件,请单击编辑图标。

   • 在“SSL配置文件”(SSL配置文件)列表中,选择启用了客户端身份验证的SSL配置文件并将其设置为“可选的”(可选)。

   • 如果未启用默认SSL配置文件,请单击编辑图标。
   • 选中“客户端身份验证”(客户端身份验证)复选框。
   • 确保“客户端证书”(客户端证书)设置为“可选的”(可选)

3. 单击OK(确定)。

4. 在“证书”(证书)部分中,单击没有CA证书(无CA证书)。

5. 在“选择CA证书”(选择CA证书)中,选择“点击选择”(单击以选择)并选择客户端证书颁发者的根证书。

6. 单击Bind(绑定)。

注意:您可能还必须绑定颁发客户端证书的任何中间CA证书。

为nFactor单点登录配置Citrix网关到店面的流量策略

对于单点登录店面、nFactor默认使用最后输入的密码。如果LDAP 不是最后输入的密码，则必须创建流量策略/配置文件来覆盖默认的 nFactor 行为。

1. 导航到Citrix网关>政策(策略)>交通流(量)。

2. 在交通概况（流量配置文件）选项卡中，单击添加（添加）。

3. 输入流量配置文件的名称。选择HTTP协议。在单点登录（单点登录）中，选择在（开）。

4. 在SSO表达式中,输入与登录架构中指定的索引匹配的AAA.USER.ATURE(#)表达式,然后单击创建。

   注意：AAA.USER表达式现在已实现,以替换弃用的HTTP.REQ.USER表达式。

5. 单击交通政策（流量策略）选项卡，然后单击添加（添加）。

   输入策略的名称。选择在上一步中创建的流量配置文件。在表达式(表达式)中,输入高级表达式,例如真。单击创建。

6. 导航到Citrix网关> Citrix网关虚拟服务器(Citrix网关虚拟服务器)。

   • 选择现有虚拟服务器，然后单击编辑（编辑）。
   • 在政策（策略）部分中，单击+号。
   • 在选择政策（选择策略）中，请选择交通（流量）。
   • 在选择类型（选择类型）中，选择请求（请求）。
   • 选择您创建的流量策略，然后单击绑定（绑定）。

使用Citrix ADC CLI获取关于nFactor配置的示例代码段

要了解nFactor身份验证的分步配置,让我们假设一个双重身份验证部署,其中第一个因素为LDAP身份验证,第二个因素为半径身份验证。

此示例部署要求用户使用单个登录表单登录这两个因素。因此，我们定义了一个接受两个密码的单个登录表单。第一个密码用于LDAP身份验证,另一个用于半径身份验证。下面是执行的配置：

1. 为身份验证配置负载平衡虚拟服务器

   添加磅虚拟服务器lbvs89 HTTP 1.136.19.55 80 -身份验证主机auth56.aaatm.com身份验证开

2. 配置身份验证虚拟服务器。

   添加身份验证vserverauth56 SSL 10.6.30.223 443 -AuthenticationDomain aaatm.com

3. 配置登录表单的登录架构并将其绑定到登录架构策略。

   添加身份验证loginSchemalogin1 -authenticationSchema login-2passwd.xml -userCredentialIndex 1 -passwordCredentialIndex 2

   注意：

   对于后端服务(例如店面)的单点登录(SSO),您可能需要使用登录模式中输入的用户名和密码之一。您可以使用表达式AAA.USER.ATTRIBE(#)在流量操作中引用这些索引值。这些值可以介于 1 到 16 之间。

   或者，您可以使用以下命令使用登录架构中输入的凭据作为单点登录凭据。

   添加身份验证loginSchemalogin1 -authenticationSchema login-2passwd.xml -SSOCredentials YES

   添加身份验证loginSchemaPolicyLogin1 -rule true -action Login1

4. 为直通配置登录架构并将其绑定到策略标签

   添加身份验证loginSchemalogin2 -authenticationSchema noschema

   添加身份验证policylabellabel1 -loginSchema login2

5. 配置LDAP和半径策略。

   添加身份验证ldapActionldapAct1 -serverIP 10.17.103.28 -ldapBase " dc=aaatm, dc=com " -ldapBindDn administrator@aaatm.com -ldapBindDnPassword 81qw1b99ui971mn1289op1abc12542389b1f6c111n0d98e1d78ae90c8545901 -encrypted -encryptmethod ENCMTHD_3 - ldploginname samAccountName -groupAttrName memberOf -subAttributeName CN

   添加身份验证策略ldap -rule true -action ldapAct1

   添加身份验证radiusActionradius -serverIP 10.101.14.3 -radKey n231d9a8cao8671or4a9ace940d8623babca0f092gfv4n5598ngc40b18876hj32 -encrypted -encryptmethod ENCMTHD_3 -radNASip ENABLED -radNASid NS28.50 -radAttributeType 11 -ipAttributeType 8

   添加身份验证策略Radius -rule true -动作半径

6. 将登录架构策略绑定到身份验证虚拟服务器

   绑定验证vserverauth56 -policy login1 -priority 1 - gotopriityexpression结束

7. 将LDAP策略(第一个因素)绑定到身份验证虚拟服务器。

   绑定验证vserverauth56 -policy ldap -priority 1 -nextFactor label1 - gotopriityexpression next

8. 将半径策略(第二因素)绑定到身份验证策略标签。

   绑定验证policylabellabel1 -policyName radius -priority 2 - gotopriityexpression end