在 Workspace ONE Access 中配置 RADIUS 身份验证

您可以在 Workspace ONE Access 控制台中启用 RADIUS 身份验证方法并配置 RADIUS 设置。

前提条件

在身份验证管理器服务器上安装并配置 RADIUS 软件。对于 RADIUS 身份验证，请按照供应商的配置文档进行操作。

需要提供以下 RADIUS 服务器信息以在 Workspace ONE Access 服务上配置 RADIUS。

RADIUS 服务器的 IP 地址或 DNS 名称。
身份验证端口号。身份验证端口通常为 1812。
身份验证类型。身份验证类型包括 PAP（密码身份验证协议）、CHAP（质询握手身份验证协议）、MSCHAP1 和 MSCHAP2（Microsoft 质询握手身份验证协议版本 1 和 2）。
用于在 RADIUS 协议消息中加密和解密的 RADIUS 共享密钥。
RADIUS 身份验证所需的特定超时和重试值。

过程

在 Workspace ONE Access 控制台的“身份和访问管理”选项卡中，选择管理 > 企业身份验证方法。
单击新建，然后选择 RADIUS（云部署）。
选择要通过此身份验证方法配置的目录和服务主机。

配置 RADIUS 身份验证方法。


选项	操作
允许的身份验证尝试次数	输入在使用 RADIUS 登录时的最大失败登录尝试次数。默认为尝试 5 次。
登录页密码短语提示	输入在用户登录页面上作为消息显示的文本字符串，以指示用户输入正确的 RADIUS 通行码。例如，如果该文本框配置为 AD password first and then SMS passcode，则登录页消息显示 Enter your AD password first and then SMS passcode。。默认文本字符串为 RADIUS Passcode。
对 Radius 服务器启用直接身份验证	选中此框以启用直接用户身份验证。如果启用此功能，则用户将无需重新输入其凭据。要对 RADIUS 服务器使用直接身份验证，必须以相同的方式在 RADIUS 服务器和 Active Directory 中配置用户名。请注意，Active Directory 中的用户名 JSmith 与 RADIUS 服务器中的 jsmith 不匹配。
尝试访问 RADIUS 服务器的次数	输入总重试次数。如果主服务器没有响应，该服务将等待配置的时间后再重试。
服务器超时 (秒)	输入 RADIUS 服务器超时（秒）；如果 RADIUS 服务器没有响应，将在这段时间过后发送重试。
RADIUS 服务器主机名/地址	（可选）输入 RADIUS 服务器的主机名或 IP 地址。
身份验证端口	输入 RADIUS 身份验证端口号。该端口通常为 1812。
计帐端口	输入 0 以作为端口号。当前未使用计帐端口。
身份验证类型	输入 RADIUS 服务器支持的身份验证协议。PAP、CHAP、MSCHAP1 或 MSCHAP2。
共享密码	输入在 RADIUS 服务器和 Workspace ONE Access 服务之间使用的共享密码。
领域前缀	（可选）用户帐户位置称为领域。输入要使用的领域前缀。如果输入领域前缀字符串，在将用户名发送到 RADIUS 服务器时，将该字符串放在用户名的开头。例如，如果输入用户名 jdoe 并指定领域前缀 DOMAIN-A\，则将用户名 DOMAIN-A\jdoe 发送到 RADIUS 服务器。如果未配置“领域”文本框，则仅发送输入的用户名。
领域后缀	（可选）如果指定领域后缀，则将该字符串放在用户名的末尾。例如，如果后缀为 @myco.com，则将用户名 jdoe@myco.com 发送到 RADIUS 服务器。

您可以启用辅助 RADIUS 服务器以实现高可用性。
请按照步骤 4 中所述配置辅助服务器。
单击下一步以查看配置，然后单击保存。

后续步骤

将 RADIUS 作为身份验证方法添加到内置身份提供程序配置页面。

将 RADIUS 身份验证方法添加到默认访问策略中。转到“身份和访问管理”>“管理”>“策略”页面，然后编辑默认策略规则以将 RADIUS 身份验证方法添加到规则中。请参阅在 Workspace ONE Access 中管理对用户应用的访问策略。

为实现高可用性，请将此 RADIUS 身份验证方法关联到安装了企业服务用户身份验证的其他已注册 Workspace ONE Access Connector。