In de Workspace ONE Access-console schakelt u de RADIUS-verificatiemethode in en configureert u de RADIUS-instellingen.

Voorwaarden

  • Installeer en configureer de RADIUS-software op een verificatieserver. Voor RADIUS-verificatie volgt u de configuratiedocumentatie van de leverancier.

    De volgende RADIUS-serverinformatie is vereist om RADIUS voor de Workspace ONE Access-service te configureren.

    • IP-adres of DNS-naam van de RADIUS-server.
    • Verificatiepoortnummers. De verificatiepoort is doorgaans 1812.
    • Verificatietype. De verificatietypen omvatten PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, versies 1 en 2).
    • RADIUS gedeeld geheim dat wordt gebruikt voor versleuteling en ontsleuteling in RADIUS-protocolberichten.
    • Specifieke time-out- en pogingswaarden zijn vereist voor RADIUS-verificatie.
  • De Gebruikersverificatieservice geïnstalleerd als onderdeel van Workspace ONE Access Connector.

Procedure

  1. Klik op de pagina Integraties > Verificatiemethoden voor connector in de Workspace ONE Access-console op NIEUW en selecteer RADIUS (cloudimplementatie).
  2. Als u met deze verificatiemethode wilt configureren, selecteert u de Directory en de Servicehost en klikt u op VOLGENDE.
  3. Configureer de instellingen voor de RADIUS-verificatiemethode.
    Optie Actie
    Aantal toegestane verificatiepogingen Voer het maximum aantal mislukte aanmeldingspogingen in bij gebruik van RADIUS voor het aanmelden. De standaardwaarde is vijf pogingen.
    Hint voor wachtwoordzin aanmeldpagina Voer de teksttekenreeks in die moet worden weergegeven als bericht op de pagina voor gebruikersaanmelding om gebruikers te vragen de juiste RADIUS-wachtwoordcode in te voeren. De standaardteksttekenreeks is RADIUS-wachtwoordcode. Het standaardbericht is Voer de RADIUS-wachtwoordcode in.
    Hint voor aangepaste wachtwoordzin voor aanmeldingspagina Als u een hint voor een aangepaste wachtwoordzin in dit tekstvak opgeeft, wordt deze hint weergegeven als bericht op de gebruikersaanmeldingspagina in plaats van de hint voor een wachtwoordzin voor de aanmeldpagina. Als dit tekstvak bijvoorbeeld is geconfigureerd met Voer eerst AD-wachtwoord in en vervolgens sms-wachtwoordcode, bevat het bericht op de aanmeldpagina Voer eerst uw AD-wachtwoord in en vervolgens de sms-wachtwoordcode.
    Directe verificatie bij RADIUS-server inschakelen Wijzig NEE in JA om directe gebruikersverificatie in te schakelen. Gebruikers hoeven hun verificatiegegevens niet opnieuw in te voeren. In dit geval wordt dezelfde gebruikersnaam voor het wachtwoord gebruikt.

    Schakel deze optie alleen in wanneer Access-Challenge is geconfigureerd op de RADIUS-server.

    Als u directe verificatie bij de RADIUS-server wilt gebruiken, moet de gebruikersnaam op dezelfde manier worden geconfigureerd op zowel de RADIUS-server als in Active Directory. Houd er rekening mee dat een gebruikersnaam JSmith in Active Directory niet overeenkomt met jsmith op de RADIUS-server.
    Aantal pogingen op RADIUS-server Geef het totale aantal nieuwe pogingen op. Als de primaire server niet reageert, wacht de service gedurende de geconfigureerde tijd voordat een nieuwe poging wordt ondernomen.
    Servertime-out in seconden

    Voer de RADIUS-servertime-out in seconden in, waarna een nieuwe poging wordt verzonden als de RADIUS-server niet reageert.

    Hostnaam/adres van RADIUS-server (Optioneel) Voer de hostnaam of het IP-adres van de RADIUS-server in.
    Verificatiepoort Voer het RADIUS-verificatiepoortnummer in. De poort is doorgaans 1812.
    Accountingpoort Voer 0 in voor het poortnummer. De accountingpoort wordt op dit moment niet gebruikt.
    Verificatietype Voer het verificatieprotocol in dat door de RADIUS-server wordt ondersteund: PAP, CHAP, MSCHAP1 of MSCHAP2.
    Gedeeld geheim Voer het gedeelde geheim in dat wordt gebruikt tussen de RADIUS-server en de Workspace ONE Access-service.
    Voorvoegsel realm (Optioneel) De gebruikersaccountlocatie wordt de realm genoemd. Voer het voorvoegsel voor de realm in dat u wilt gebruiken.

    Als u een tekenreeks voor het voorvoegsel van de realm opgeeft, wordt de tekenreeks aan het begin van de gebruikersnaam geplaatst wanneer de naam naar de RADIUS-server wordt verzonden. Als de gebruikersnaam bijvoorbeeld wordt ingevoerd als jdoe en het voorvoegsel van de realm DOMAIN-A\ wordt opgegeven, wordt de gebruikersnaam DOMAIN-A\jdoe naar de RADIUS-server verzonden. Als u de tekstvakken Realm niet configureert, wordt alleen de ingevoerde gebruikersnaam verzonden.

    Achtervoegsel realm (Optioneel) Als u een achtervoegsel voor de realm opgeeft, wordt de tekenreeks aan het einde van de gebruikersnaam geplaatst. Als het achtervoegsel bijvoorbeeld @myco.com is, wordt de gebruikersnaam [email protected] naar de RADIUS-server verzonden.
    MSCHAPv2-basisvalidatie inschakelen Wijzig NEE in JA om MS-CHAPv2-basisvalidatie in te schakelen. Als deze optie is ingesteld op JA, wordt de extra validatie van het antwoord van de RADIUS-server overgeslagen. Standaard wordt volledige validatie uitgevoerd.
  4. U kunt een secundaire RADIUS-server voor hoge beschikbaarheid inschakelen.
    Configureer de secundaire server zoals beschreven in stap 4.
  5. Klik op VOLGENDE om de regels na te kijken en klik vervolgens op OPSLAAN.
    Screenshot van de pagina voor serverconfiguratie

Volgende stappen

Voeg RADIUS als verificatiemethode toe op de configuratiepagina voor de ingebouwde identiteitsprovider.

Voeg de RADIUS-verificatiemethode toe aan het standaardtoegangsbeleid. Ga in de console naar de pagina Resources > Beleidsregels en bewerk de standaardbeleidsregels om de RADIUS-verificatiemethode toe te voegen aan de regel. Zie Toegangsbeleidsregels beheren in de Workspace ONE Access-service.

Voor hoge beschikbaarheid koppelt u deze RADIUS-verificatiemethode aan een andere geregistreerde Workspace ONE Access Connector waar het onderdeel Gebruikersverificatie van de bedrijfsservice is geïnstalleerd.