Sur le dispositif Unified Access Gateway, vous devez activer l'authentification RADIUS, entrer les paramètres de configuration à partir du serveur RADIUS et définir le type d'authentification sur RADIUS.

Conditions préalables

  • Vérifiez que le logiciel RADIUS est installé et configuré sur le serveur à utiliser comme serveur gestionnaire d'authentification. Configurez le serveur RADIUS, puis configurez les demandes RADIUS à partir d'Unified Access Gateway. Pour plus d'informations sur la configuration du serveur RADIUS, consultez les guides de configuration du fournisseur RADIUS.

Les informations de serveur RADIUS suivantes sont requises.

  • Adresse IP ou nom DNS du serveur RADIUS.
  • Numéros de port d'authentification. En général, le port d'authentification est le port 1812.
  • Type d'authentification. Les types d'authentification incluent PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, versions 1 et 2).
  • Code secret partagé RADIUS utilisé pour le chiffrement et le déchiffrement dans les messages de protocole RADIUS.
  • Valeurs de délai d’expiration et de nouvelle tentative spécifiques nécessaires pour l'authentification RADIUS.

Procédure

  1. Dans la section Interface utilisateur > Configuration manuelle, cliquez sur Sélectionner.
  2. Dans Paramètres généraux, section Paramètres d'authentification, cliquez sur Afficher.
  3. Cliquez sur l'engrenage dans la ligne RADIUS.
    Option Action
    Activer RADIUS Activez cette option pour activer l'authentification RADIUS.
    Nom* Le nom est radius-auth.
    Type d'authentification* Entrez le protocole d'authentification pris en charge par le serveur RADIUS. PAP, CHAP, MSCHAP1 ou MSCHAP2.
    Secret partagé* Entrez le secret partagé RADIUS.
    Nombre de tentatives d'authentification autorisées* Entrez le nombre maximal de tentatives de connexion échouées lorsque vous utilisez RADIUS pour vous connecter. La valeur par défaut est de trois tentatives.
    Nombre de tentatives d'accès au serveur RADIUS* Spécifiez le nombre total de nouvelles tentatives. Si le serveur principal ne répond pas, le service attend le temps configuré avant de réessayer.
    Délai d'expiration du serveur en secondes*

    Entrez le délai d'attente du serveur RADIUS en secondes, après lequel une nouvelle tentative est envoyée si le serveur RADIUS ne répond pas.

    La valeur Délai d'expiration maximal du serveur dépend des serveurs RADIUS configurés.

    • Si seul le serveur RADIUS principal est configuré, Number of attempts to RADIUS server * Server Timeout in Seconds <= 120 seconds.
    • Si les serveurs RADIUS principal et secondaire sont configurés, 2 * Number of attempts to RADIUS server * Server Timeout in Seconds <= 120 seconds.
    Nom d'hôte du serveur RADIUS* Entrez le nom de l'hôte ou l'adresse IP du serveur RADIUS.
    Port d'authentification* Entrez le numéro de port d'authentification Radius. En général, il s'agit du port 1812.
    Préfixe de domaine (Facultatif) L'emplacement du compte d'utilisateur est appelé le domaine.

    Si vous spécifiez une chaîne de préfixe du domaine, la chaîne est placée au début du nom d'utilisateur lorsque le nom est envoyé au serveur RADIUS. Par exemple, si le nom d'utilisateur entré est jdoe et que le préfixe de domaine DOMAIN-A\ est spécifié, le nom d'utilisateur DOMAIN-A\jdoe est envoyé au serveur RADIUS. Si vous ne configurez pas ces champs, seul le nom d'utilisateur qui est entré est envoyé.

    Suffixe de domaine (Facultatif) Si vous configurez un suffixe du domaine, la chaîne est placée à la fin du nom d'utilisateur. Par exemple, si le suffixe est @myco.com, le nom d'utilisateur [email protected] est envoyé au serveur RADIUS.
    Suffixe d'ID de nom Entrez le NameId tel que @somedomain.com. Ce NameId est utilisé pour envoyer du contenu supplémentaire comme le nom de domaine pour le serveur RADIUS ou le serveur RSA SecurID. Par exemple, si un utilisateur ouvre une session en tant que user1, [email protected] est envoyé au serveur.
    Conseil de phrase secrète de la page de connexion Entrez la chaîne de texte à afficher dans le message sur la page de connexion utilisateur pour demander aux utilisateurs d'entrer le bon code secret Radius. La chaîne de texte par défaut est RADIUS.

    Vous pouvez personnaliser les étiquettes pour username et passcode dans les paramètres d'Horizon. Par exemple, si ce champ est configuré avec Mot de passe AD en premier, puis code secret SMS, le message sur la page de connexion indique Entrer le nom d'utilisateur et code secret RADIUS (pour le mot de passe ; mot de passe AD en premier, puis le code secret SMS).

    Activer la validation MS-CHAPv2 de base Activez cette option pour effectuer l'activation de la validation MS-CHAPv2 de base. Si cette option est activée, la validation supplémentaire de la réponse du serveur RADIUS est ignorée. Par défaut, la validation complète sera effectuée.
    Activer le serveur secondaire Activez cette option pour configurer un serveur RADIUS secondaire pour la haute disponibilité. Configurez les informations du serveur secondaire comme décrit à l'étape 3.
  4. Cliquez sur Enregistrer.