Vous activez l'authentification RADIUS et configurez les paramètres RADIUS dans la console VMware Identity Manager.

Conditions préalables

Installez et configurez le logiciel RADIUS sur un serveur de gestion de l'authentification. Pour l'authentification RADIUS, suivez la documentation de configuration du fournisseur.

Vous devez connaître les informations suivantes sur le serveur RADIUS pour configurer RADIUS sur le service.

  • Adresse IP ou nom DNS du serveur RADIUS.

  • Numéros de port d'authentification. En général, le port d'authentification est le port 1812.

  • Type d'authentification. Les types d'authentification incluent PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, versions 1 et 2).

  • Code secret partagé RADIUS utilisé pour le chiffrement et le déchiffrement dans les messages de protocole RADIUS.

  • Valeurs du délai d’expiration et de nouvelle tentative nécessaires pour l'authentification RADIUS

Procédure

  1. Dans l'onglet Identité et gestion de l'accès de la console VMware Identity Manager, sélectionnez Configuration.
  2. Sur la page Connecteurs, sélectionnez le lien Travailleur correspondant au connecteur qui est configuré pour l'authentification RADIUS.
  3. Cliquez sur Adaptateurs d'authentification, puis cliquez sur RadiusAuthAdapter.

    Vous serez redirigé vers la page de connexion du gestionnaire d'identité.

  4. Cliquez sur Modifier pour configurer ces champs sur la page Adaptateur d'authentification.

    Option

    Action

    Nom

    Un nom est requis. Le nom par défaut est RadiusAuthAdapter. Vous pouvez modifier ce nom.

    Activer l'adaptateur Radius

    Cochez cette case pour activer l'authentification RADIUS.

    Nombre de tentatives d'authentification autorisées

    Entrez le nombre maximum de tentatives de connexion échouées lorsque vous utilisez RADIUS pour vous connecter. La valeur par défaut est de cinq tentatives.

    Conseil pour la phrase secrète de la page de connexion

    Entrez la chaîne de texte à afficher dans le message sur la page de connexion utilisateur pour demander aux utilisateurs d'entrer le bon code secret Radius. Par exemple, si la zone de texte est configurée avec Mot de passe AD en premier, puis code secret SMS, le message sur la page de connexion serait Entrez votre mot de passe AD en premier, puis le code secret SMS. La chaîne de texte par défaut est RADIUS Passcode.

    Activer l'authentification directe au serveur Radius pendant le chaînage d'authentification

    Cochez cette case pour activer l'authentification directe des utilisateurs. Les utilisateurs ne sont pas tenus d'entrer de nouveau leurs informations d'identification.

    Nombre de tentatives pour le serveur Radius

    Spécifiez le nombre total de nouvelles tentatives. Si le serveur principal ne répond pas, le service attend l'heure configurée avant de réessayer.

    Délai d'attente du serveur en secondes

    Entrez le délai d'attente du serveur RADIUS en secondes, après lequel une nouvelle tentative est envoyée si le serveur RADIUS ne répond pas.

    Nom d'hôte/adresse du serveur Radius

    Entrez le nom de l'hôte ou l'adresse IP du serveur RADIUS.

    Port d'authentification

    Entrez le numéro de port d'authentification Radius. En général, il s'agit du port 1812.

    Port de gestion

    Entrez 0 pour le numéro de port. Le port de gestion n'est actuellement pas utilisé.

    Type d'authentification

    Entrez le protocole d'authentification pris en charge par le serveur RADIUS. PAP, CHAP, MSCHAP1 ou MSCHAP2.

    Code secret partagé

    Entrez le code secret partagé utilisé entre le serveur RADIUS et le service VMware Identity Manager.

    Préfixe du domaine

    (Facultatif) L'emplacement du compte d'utilisateur est appelé le domaine.

    Si vous entrez une chaîne de préfixe du domaine, la chaîne est placée au début du nom d'utilisateur lorsque le nom est envoyé au serveur RADIUS. Par exemple, si le nom d'utilisateur entré est jdoe et que le préfixe de domaine DOMAIN-A\ est spécifié, le nom d'utilisateur DOMAIN-A\jdoe est envoyé au serveur RADIUS. Si vous ne configurez pas ces zones de texte, seul le nom d'utilisateur qui est entré est envoyé.

    Suffixe du domaine

    (Facultatif) Si vous spécifiez un suffixe du domaine, la chaîne est placée à la fin du nom d'utilisateur. Par exemple, si le suffixe est @myco.com, le nom d'utilisateur [email protected] est envoyé au serveur RADIUS.

  5. Vous pouvez activer un serveur RADIUS secondaire pour une haute disponibilité.

    Configurez le serveur secondaire comme décrit à l'étape 4.

  6. Cliquez sur Enregistrer.

Que faire ensuite

Activez la méthode d'authentification RADIUS dans le fournisseur d'identité intégré dans l'onglet Identité et gestion de l'accès > Gérer. Voir Utilisation de fournisseurs d'identité intégrés.

Ajoutez la méthode d'authentification RADIUS à la stratégie d'accès par défaut. Accédez à la page Identité et gestion de l'accès > Gérer > Stratégies et modifiez les règles de stratégie par défaut pour ajouter la méthode d'authentification RADIUS à la règle. Voir Gestion des méthodes d'authentification à appliquer aux utilisateurs.