Bei der Unified Access Gateway-Appliance müssen Sie die RADIUS-Authentifizierung aktivieren, die Konfigurationseinstellungen vom RADIUS-Server angeben und den Authentifizierungstyp in RADIUS-Authentifizierung ändern.

Voraussetzungen

  • Vergewissern Sie sich, dass auf dem Server, der als Authentifizierungsmanager dienen soll, die RADIUS-Software installiert und konfiguriert ist. Richten Sie den RADIUS-Server ein und konfigurieren Sie dann die RADIUS-Anforderungen von Unified Access Gateway. Informationen zum Einrichten des RADIUS-Servers finden Sie in den Einrichtungs-Handbüchern Ihres RADIUS-Händlers.

Die folgenden RADIUS-Serverinformationen sind erforderlich.

  • IP-Adresse oder DNS-Name des RADIUS-Servers.
  • Portnummern der Authentifizierung. Der Authentifizierungsport ist normalerweise 1812.
  • Authentifizierungstyp. Zu den Authentifizierungstypen zählen PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, Version 1 und 2).
  • Der gemeinsame geheime Schlüssel von RADIUS, der für die Verschlüsselung und Entschlüsselung in RADIUS-Protokollmeldungen verwendet wird.
  • Spezielle Timeout- und Wiederholungswerte, die für die RADIUS-Authentifizierung erforderlich sind.

Prozedur

  1. Klicken Sie auf der Verwaltungsoberfläche im Bereich „Manuell konfigurieren“ auf Auswählen.
  2. Klicken Sie unter „Allgemeine Einstellungen“ in der Zeile mit den Authentifizierungseinstellungen auf Anzeigen.
  3. Klicken Sie in der Zeile RADIUS auf das Zahnradsymbol.
    Option Aktion
    RADIUS aktivieren Aktivieren Sie diese Umschaltoption, um die RADIUS-Authentifizierung zu aktivieren.
    Name* Der Name lautet „radius-auth“
    Authentifizierungstyp* Geben Sie das vom RADIUS-Server unterstützte Authentifizierungsprotokoll ein. Entweder PAP, CHAP, MSCHAP1 oder MSCHAP2.
    Gemeinsamer geheimer Schlüssel* Geben Sie den gemeinsamen geheimen Schlüssel von RADIUS ein.
    Anzahl der zulässigen Authentifizierungsversuche* Geben Sie die maximale Anzahl fehlgeschlagener Anmeldeversuche ein, bei denen Sie RADIUS für die Anmeldung verwendet haben. Die Standardeinstellung lautet drei Versuche.
    Anzahl der Versuche für RADIUS-Server* Geben Sie die Gesamtanzahl der Wiederholungsversuche ein. Wenn der primäre Server nicht antwortet, wartet der Dienst die konfigurierte Zeit, bevor er es erneut versucht.
    Server-Zeitlimit in Sekunden*

    Geben Sie den Timeout des RADIUS-Servers in Sekunden ein, nach dem eine Wiederholung gesendet wird, wenn der RADIUS-Server nicht antwortet.

    Der Wert Maximaler Server-Timeout hängt von der konfigurierten RADIUS-Server ab.

    • Wenn nur der primäre RADIUS-Server konfiguriert ist, Number of attempts to RADIUS server * Server Timeout in Seconds <= 120 seconds.
    • Wenn sowohl der primäre als auch der sekundäre RADIUS-Server konfiguriert ist, 2 * Number of attempts to RADIUS server * Server Timeout in Seconds <= 120 seconds.
    RADIUS-Serverhostname* Geben Sie den Hostnamen oder die IP-Adresse des RADIUS-Servers ein.
    Authentifizierungsport* Geben Sie die Nummer des Radius-Authentifizierungsports ein. Dies ist normalerweise Port 1812.
    Bereichspräfix (Optional) Die Position des Benutzerkontos wird „Realm“ genannt.

    Wenn Sie einen Realm-Präfix-String angeben, wird der String am Anfang des Benutzernamens platziert, wenn der Name an den RADIUS-Server gesendet wird. Wenn der Benutzername beispielsweise mit „jdoe“ angegeben wird und das Realm-Präfix DOMAIN-A\ angegeben wird, wird der Benutzername DOMAIN-A\jdoe an den RADIUS-Server gesendet. Wenn Sie diese Felder nicht konfigurieren, wird nur der eingegebene Benutzername gesendet.

    Bereichssuffix (Optional) Wenn Sie ein Realm-Suffix konfigurieren, wird dieses am Ende des Benutzernamens platziert. Wenn das Suffix z. B. @myco.com ist, wird der Benutzername [email protected] an den RADIUS-Server gesendet.
    Suffix für Namens-ID Geben Sie die Namens-ID als @somedomain.com ein. Wird verwendet, um zusätzliche Inhalte, wie zum Beispiel den Domänennamen, an den RADIUS-Server oder RSA SecurID-Server zu senden. Beispiel: Wenn sich ein Benutzer als Benutzer1 anmeldet, wird [email protected] an den Server gesendet.
    Passphrase-Hinweis für Anmeldeseite Geben Sie den Textstring ein, der in der Meldung auf der Anmeldeseite des Benutzers angezeigt werden soll und die Benutzer auffordert, den richtigen Radius-Passcode einzugeben. Der Standardtextstring ist Radius.

    Sie können die Bezeichnungen für username und passcode in den Horizon-Einstellungen anpassen. Wenn dieses Feld z. B. mit AD-Kennwort zuerst und dann SMS-Passcode konfiguriert wird, steht in der Meldung der Anmeldeseite Geben Sie Ihren RADIUS-Benutzernamen und Passcode ein (Für Kennwort: zuerst AD-Kennwort und dann SMS-Passcode).

    Grundlegende MS-CHAPv2-Validierung aktivieren Aktivieren Sie diese Umschaltoption, um die grundlegende MS-CHAPv2-Validierung zu aktivieren. Wenn diese Umschaltoption aktiviert ist, wird die zusätzliche Validierung der Antwort vom RADIUS-Server übersprungen. Standardmäßig wird die vollständige Validierung ausgeführt.
    Sekundären Server aktivieren Aktivieren Sie diese Umschaltoption, um einen sekundären RADIUS-Server für Hochverfügbarkeit zu konfigurieren. Konfigurieren Sie den sekundären Server wie in Schritt 3 beschrieben.
  4. Klicken Sie auf Speichern.