Sie aktivieren die RADIUS-Authentifizierungsmethode und konfigurieren die RADIUS-Einstellungen in der Workspace ONE Access-Konsole.

Voraussetzungen

Installieren und konfigurieren Sie die RADIUS-Software auf einem Authentifizierungsmanager-Server. Folgen Sie der Konfigurationsdokumentation des Lieferanten für die RADIUS-Authentifizierung.

Die folgenden RADIUS-Serverinformationen sind erforderlich, um RADIUS für den Workspace ONE Access-Dienst zu konfigurieren.

  • IP-Adresse oder DNS-Name des RADIUS-Servers.
  • Portnummern der Authentifizierung. Der Authentifizierungsport ist normalerweise 1812.
  • Authentifizierungstyp. Zu den Authentifizierungstypen zählen PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, Version 1 und 2).
  • Der gemeinsame geheime Schlüssel von RADIUS, der für die Verschlüsselung und Entschlüsselung in RADIUS-Protokollmeldungen verwendet wird.
  • Spezielle Timeout- und Wiederholungswerte, die für die RADIUS-Authentifizierung erforderlich sind.

Prozedur

  1. Wählen Sie in der Workspace ONE Access-Konsole auf der Registerkarte „Identitäts- und Zugriffsmanagement“ die Option Verwalten > Methoden der Enterprise-Authentifizierung aus.
  2. Klicken Sie auf NEU und wählen Sie „RADIUS (Cloud-Bereitstellung)“ aus.
  3. Wählen Sie das Verzeichnis und den Diensthost aus, die mit dieser Authentifizierungsmethode konfiguriert werden sollen.
  4. Konfigurieren Sie die RADIUS-Authentifizierungsmethode.
    Option Aktion
    Anzahl der zulässigen Authentifizierungsversuche Geben Sie die maximale Anzahl fehlgeschlagener Anmeldeversuche ein, bei denen Sie RADIUS für die Anmeldung verwendet haben. Die Standardeinstellung ist fünf Versuche.
    Kennphrasenhinweis der Anmeldeseite Geben Sie den Textstring ein, der in der Meldung auf der Anmeldeseite des Benutzers angezeigt werden soll und die Benutzer auffordert, die richtige RADIUS-Kennung einzugeben. Wenn dieses Textfeld z. B. mit AD-Kennwort zuerst und dann SMS-Passcode konfiguriert wird, steht in der Meldung der Anmeldeseite Geben Sie zuerst Ihr AD-Kennwort und dann den SMS-Passcode ein.. Der Standardtextstring ist RADIUS-Kennung.
    Direkte Authentifizierung bei RADIUS-Server aktivieren Aktivieren Sie dieses Kontrollkästchen, um die direkte Benutzerauthentifizierung zu aktivieren. Wenn dieses Kontrollkästchen aktiviert ist, müssen Benutzer ihre Anmeldedaten nicht erneut eingeben.

    Um die direkte Authentifizierung beim RADIUS-Server zu verwenden, muss der Benutzername auf dem RADIUS-Server und in Active Directory auf dieselbe Weise konfiguriert werden. Beachten Sie, dass z. B. der Benutzername JSmith in Active Directory nicht mit jsmith im RADIUS-Server übereinstimmt.

    Anzahl der Versuche für den RADIUS-Server Geben Sie die Gesamtanzahl der Wiederholungsversuche ein. Wenn der primäre Server nicht antwortet, wartet der Dienst die konfigurierte Zeit, bevor er es erneut versucht.
    Server-Timeout in Sekunden

    Geben Sie den Timeout des RADIUS-Servers in Sekunden ein, nach dem eine Wiederholung gesendet wird, wenn der RADIUS-Server nicht antwortet.

    Hostname/-adresse des RADIUS-Servers (Optional) Geben Sie den Hostnamen oder die IP-Adresse des RADIUS-Servers ein.
    Authentifizierungsport Geben Sie die Portnummer für die RADIUS-Authentifizierung ein. Dies ist normalerweise Port 1812.
    Accounting-Port Geben Sie für die Portnummer 0 ein. Der Accounting-Port wird derzeit nicht verwendet.
    Authentifizierungstyp Geben Sie das vom RADIUS-Server unterstützte Authentifizierungsprotokoll ein. Entweder PAP, CHAP, MSCHAP1 ODER MSCHAP2.
    Gemeinsamer geheimer Schlüssel Geben Sie den gemeinsamen geheimen Schlüssel ein, der zwischen dem RADIUS-Server und dem Workspace ONE Access-Dienst verwendet wird.
    Bereichspräfix (Optional) Die Position des Benutzerkontos wird „Realm“ genannt. Geben Sie das zu verwendende Bereichspräfix ein.

    Wenn Sie einen Bereichspräfix-String eingeben, wird der String am Anfang des Benutzernamens platziert, wenn der Name an den RADIUS-Server gesendet wird. Wenn der Benutzername beispielsweise mit „jdoe“ angegeben wird und das Realm-Präfix DOMAIN-A\ angegeben wird, wird der Benutzername DOMAIN-A\jdoe an den RADIUS-Server gesendet. Wenn Sie diese Bereichstextfelder nicht konfigurieren, wird nur der eingegebene Benutzername gesendet.

    Bereichssuffix (Optional) Wenn Sie ein Bereichssuffix angeben, wird dieser String am Ende des Benutzernamens platziert. Wenn das Suffix z. B. @myco.com ist, wird der Benutzername jdoe@myco.com an den RADIUS-Server gesendet.
  5. Sie können für die Hochverfügbarkeit einen zweiten RADIUS-Server aktivieren.
    Konfigurieren Sie den sekundären Server wie in Schritt 4 beschrieben.
  6. Klicken Sie auf WEITER, um die Konfiguration zu überprüfen, und klicken Sie dann auf SPEICHERN.

Nächste Maßnahme

Fügen Sie auf der Konfigurationsseite des integrierten Identitätsanbieters RADIUS als Authentifizierungsmethode hinzu.

Fügen Sie der Standardzugriffsrichtlinie die RADIUS-Authentifizierungsmethode hinzu. Wechseln Sie zur Seite „Identitäts- und Zugriffsmanagement“ > „Verwalten“ > „Richtlinien“ und bearbeiten Sie die Standardrichtlinienregeln, um der Regel die RADIUS-Authentifizierungsmethode hinzuzufügen. Siehe Verwalten von Zugriffsrichtlinien in Workspace ONE Access, die für Benutzer gelten.

Um Hochverfügbarkeit zu erzielen, weisen Sie diese RADIUS-Authentifizierungsmethode anderen registrierten Workspace ONE Access Connector zu, auf denen der Benutzerauthentifizierungsdienst des Unternehmens installiert ist.