Sie aktivieren die RADIUS-Authentifizierung und konfigurieren die RADIUS-Einstellungen in der VMware Identity Manager-Konsole.

Voraussetzungen

Installieren und konfigurieren Sie die RADIUS-Software auf einem Authentifizierungsmanager-Server. Folgen Sie der Konfigurationsdokumentation des Lieferanten für die RADIUS-Authentifizierung.

Wenn Sie RADIUS in dem Dienst konfigurieren möchten, benötigen Sie die folgenden Informationen des RADIUS-Servers.

  • IP-Adresse oder DNS-Name des RADIUS-Servers.

  • Portnummern der Authentifizierung. Der Authentifizierungsport ist normalerweise 1812.

  • Authentifizierungstyp. Zu den Authentifizierungstypen zählen PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, Version 1 und 2).

  • Der gemeinsame geheime Schlüssel von RADIUS, der für die Verschlüsselung und Entschlüsselung in RADIUS-Protokollmeldungen verwendet wird.

  • Spezielle Timeout- und Wiederholungswerte, die für die RADIUS-Authentifizierung erforderlich sind.

Prozedur

  1. Wählen Sie in der VMware Identity Manager-Konsole auf der Registerkarte „Identitäts- und Zugriffsmanagement“ Einrichten.
  2. Wählen Sie auf der Seite „Connectors“ den Worker-Link für den Connector aus, der für die RADIUS-Authentifizierung konfiguriert wird.
  3. Klicken Sie auf Authentifizierungsadapter und dann auf RadiusAuthAdapter.

    Sie werden auf die Anmeldeseite des Identity Managers umgeleitet.

  4. Klicken Sie auf Bearbeiten, um diese Felder auf der Seite „Authentifizierungsadapter“ zu konfigurieren.

    Option

    Aktion

    Name

    Der Name ist erforderlich. Der Standardname lautet „RadiusAuthAdapter“. Sie können diesen Namen ändern.

    Aktivieren des Radiusadapters

    Aktivieren Sie dieses Kontrollkästchen, um die RADIUS-Authentifizierung zu aktivieren.

    Anzahl der zulässigen Authentifizierungsversuche

    Geben Sie die maximale Anzahl fehlgeschlagener Anmeldeversuche ein, bei denen Sie RADIUS für die Anmeldung verwendet haben. Die Standardeinstellung lautet fünf Versuche.

    Kennphrasenhinweis der Anmeldeseite

    Geben Sie den Textstring ein, der in der Meldung auf der Anmeldeseite des Benutzers angezeigt werden soll und die Benutzer auffordert, den richtigen Radius-Passcode einzugeben. Wenn dieses Textfeld z. B. mit AD-Kennwort zuerst und dann SMS-Passcode konfiguriert wird, steht in der Meldung der Anmeldeseite Geben Sie zuerst Ihr AD-Kennwort und dann den SMS-Passcode ein. Der Standardtextstring ist RADIUS-Passcode.

    Direkte Authentifizierung für den Radiusserver bei der Authentifizierungsverkettung aktivieren

    Aktivieren Sie dieses Kontrollkästchen, um die direkte Benutzerauthentifizierung zu aktivieren. Benutzer müssen ihre Zugangsdaten nicht erneut eingeben.

    Anzahl der Versuche beim Radius-Server.

    Geben Sie die Gesamtanzahl der Wiederholungsversuche ein. Wenn der primäre Server nicht antwortet, wartet der Dienst die konfigurierte Zeit, bevor er es erneut versucht.

    Server-Timeout in Sekunden

    Geben Sie den Timeout des RADIUS-Servers in Sekunden ein, nach dem eine Wiederholung gesendet wird, wenn der RADIUS-Server nicht antwortet.

    Hostname/Adresse des Radius-Servers.

    Geben Sie den Hostnamen oder die IP-Adresse des RADIUS-Servers ein.

    Authentifizierungsport

    Geben Sie die Nummer des Radius-Authentifizierungsports ein. Dies ist normalerweise Port 1812.

    Accounting-Port

    Geben Sie für die Portnummer 0 ein. Der Accounting-Port wird derzeit nicht verwendet.

    Authentifizierungstyp

    Geben Sie das vom RADIUS-Server unterstützte Authentifizierungsprotokoll ein. Entweder PAP, CHAP, MSCHAP1 ODER MSCHAP2.

    Gemeinsamer geheimer Schlüssel

    Geben Sie den gemeinsamen geheimen Schlüssel ein, der zwischen dem RADIUS-Server und dem VMware Identity Manager-Dienst wird.

    Realm-Präfix

    (Optional) Die Position des Benutzerkontos wird „Realm“ genannt.

    Wenn Sie einen Realm-Präfix-String eingeben, wird der String am Anfang des Benutzernamens platziert, wenn der Name an den RADIUS-Server gesendet wird. Wenn der Benutzername beispielsweise mit „jdoe“ angegeben wird und das Realm-Präfix DOMAIN-A\ angegeben wird, wird der Benutzername DOMAIN-A\jdoe an den RADIUS-Server gesendet. Wenn Sie diese Textfelder nicht konfigurieren, wird nur der eingegebene Benutzername gesendet.

    Realm-Suffix

    (Optional) Wenn Sie ein Realm-Suffix angeben, wird dieser am Ende des Benutzernamens platziert. Wenn das Suffix z. B. @myco.com ist, wird der Benutzername [email protected] an den RADIUS-Server gesendet.

  5. Sie können für die Hochverfügbarkeit einen zweiten RADIUS-Server aktivieren.

    Konfigurieren Sie den sekundären Server wie in Schritt 4 beschrieben.

  6. Klicken Sie auf Speichern.

Nächste Maßnahme

Aktivieren Sie die Authentifizierungsmethode „RADIUS“ im integrierten Identitätsanbieter unter „Identitäts- und Zugriffsmanagement“ > Registerkarte „Verwalten“. Siehe Verwenden integrierter Identitätsanbieter.

Fügen Sie der Standardzugriffsrichtlinie die RADIUS-Authentifizierungsmethode hinzu. Wechseln Sie zur Seite „Identitäts- und Zugriffsmanagement“ > „Verwalten“ > „Richtlinien“ und bearbeiten Sie die Standardrichtlinienregeln, um der Regel die RADIUS-Authentifizierungsmethode hinzuzufügen. Siehe Verwalten der auf Benutzer anzuwendenden Authentifizierungsmethoden.