您可以在 Workspace ONE Access 控制台中启用 RADIUS 身份验证方法并配置 RADIUS 设置。

前提条件

在身份验证管理器服务器上安装并配置 RADIUS 软件。对于 RADIUS 身份验证,请按照供应商的配置文档进行操作。

需要提供以下 RADIUS 服务器信息以在 Workspace ONE Access 服务上配置 RADIUS。

  • RADIUS 服务器的 IP 地址或 DNS 名称。
  • 身份验证端口号。身份验证端口通常为 1812。
  • 身份验证类型。身份验证类型包括 PAP(密码身份验证协议)、CHAP(质询握手身份验证协议)、MSCHAP1 和 MSCHAP2(Microsoft 质询握手身份验证协议版本 1 和 2)。
  • 用于在 RADIUS 协议消息中加密和解密的 RADIUS 共享密钥。
  • RADIUS 身份验证所需的特定超时和重试值。

过程

  1. Workspace ONE Access 控制台的“身份和访问管理”选项卡中,选择管理 > 企业身份验证方法
  2. 单击新建,然后选择 RADIUS(云部署)。
  3. 选择要通过此身份验证方法配置的目录和服务主机。
  4. 配置 RADIUS 身份验证方法。
    选项 操作
    允许的身份验证尝试次数 输入在使用 RADIUS 登录时的最大失败登录尝试次数。默认为尝试 5 次。
    登录页密码短语提示 输入在用户登录页面上作为消息显示的文本字符串,以指示用户输入正确的 RADIUS 通行码。例如,如果该文本框配置为 AD password first and then SMS passcode,则登录页消息显示 Enter your AD password first and then SMS passcode。。默认文本字符串为 RADIUS Passcode
    对 Radius 服务器启用直接身份验证 选中此框以启用直接用户身份验证。如果启用此功能,则用户将无需重新输入其凭据。

    要对 RADIUS 服务器使用直接身份验证,必须以相同的方式在 RADIUS 服务器和 Active Directory 中配置用户名。请注意,Active Directory 中的用户名 JSmith 与 RADIUS 服务器中的 jsmith 不匹配。

    尝试访问 RADIUS 服务器的次数 输入总重试次数。如果主服务器没有响应,该服务将等待配置的时间后再重试。
    服务器超时 (秒)

    输入 RADIUS 服务器超时(秒);如果 RADIUS 服务器没有响应,将在这段时间过后发送重试。

    RADIUS 服务器主机名/地址 (可选)输入 RADIUS 服务器的主机名或 IP 地址。
    身份验证端口 输入 RADIUS 身份验证端口号。该端口通常为 1812。
    计帐端口 输入 0 以作为端口号。当前未使用计帐端口。
    身份验证类型 输入 RADIUS 服务器支持的身份验证协议。PAP、CHAP、MSCHAP1 或 MSCHAP2。
    共享密码 输入在 RADIUS 服务器和 Workspace ONE Access 服务之间使用的共享密码。
    领域前缀 (可选)用户帐户位置称为领域。输入要使用的领域前缀。

    如果输入领域前缀字符串,在将用户名发送到 RADIUS 服务器时,将该字符串放在用户名的开头。例如,如果输入用户名 jdoe 并指定领域前缀 DOMAIN-A\,则将用户名 DOMAIN-A\jdoe 发送到 RADIUS 服务器。如果未配置“领域”文本框,则仅发送输入的用户名。

    领域后缀 (可选)如果指定领域后缀,则将该字符串放在用户名的末尾。例如,如果后缀为 @myco.com,则将用户名 jdoe@myco.com 发送到 RADIUS 服务器。
  5. 您可以启用辅助 RADIUS 服务器以实现高可用性。
    请按照步骤 4 中所述配置辅助服务器。
  6. 单击下一步以查看配置,然后单击保存

下一步做什么

将 RADIUS 作为身份验证方法添加到内置身份提供程序配置页面。

将 RADIUS 身份验证方法添加到默认访问策略中。转到“身份和访问管理”>“管理”>“策略”页面,然后编辑默认策略规则以将 RADIUS 身份验证方法添加到规则中。请参阅在 Workspace ONE Access 中管理对用户应用的访问策略

为实现高可用性,请将此 RADIUS 身份验证方法关联到安装了企业服务用户身份验证的其他已注册 Workspace ONE Access Connector。