Включение проверки подлинности с помощью RADIUS и настройка параметров RADIUS осуществляются в консоли VMware Identity Manager.

Необходимые условия

Установите и настройте программное обеспечение RADIUS на сервере диспетчера проверки подлинности. Чтобы включить проверку подлинности с помощью RADIUS, выполните указания, приведенные в документации по конфигурации от поставщика.

Чтобы настроить RADIUS в службе, необходимо знать следующую информацию о сервере RADIUS.

  • IP-адрес или DNS-имя сервера RADIUS.

  • Номер порта проверки подлинности. Номер порта проверки подлинности, как правило, равен 1812.

  • Тип проверки подлинности. Типы проверки подлинности включают PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, версии 1 и 2).

  • Общий секретный ключ RADIUS, который используется для шифрования и расшифровки сообщений протокола RADIUS.

  • Определенные значения времени ожидания и повтора, необходимые для проверки подлинности с помощью RADIUS

Процедура

  1. В консоли VMware Identity Manager на вкладке «Управление учетными данными и доступом» выберите Настройка.
  2. На странице «Соединители» выберите ссылку «Рабочий процесс» для соединителя, настраиваемого для проверки подлинности с помощью RADIUS.
  3. Нажмите Модули авторизации, а затем нажмите RadiusAuthAdapter.

    Вы будете перенаправлены на страницу входа диспетчера удостоверений.

  4. Нажмите Изменить для настройки данных полей на странице адаптера проверки подлинности.

    Параметр

    Действие

    Имя

    Имя должно быть задано. По умолчанию используется имя RadiusAuthAdapter. Его можно изменить.

    Включить адаптер Radius

    Установите этот флажок, чтобы включить проверку подлинности с помощью RADIUS.

    Разрешенное количество попыток проверки подлинности

    Введите максимальное количество неудачных попыток входа в систему с помощью RADIUS. По умолчанию дается пять попыток.

    Подсказка парольной фразы страницы входа

    Введите текстовую строку для отображения в сообщении на странице входа, чтобы пользователи вводили правильный секретный код Radius. Например, если это текстовое поле настроено как Сначала пароль AD, затем код доступа из SMS, то сообщение на странице входа будет иметь вид: Введите пароль AD, а затем секретный код из SMS. Текстовая строка по умолчанию — Секретный код RADIUS.

    Включить проверку подлинности непосредственно на сервер Radius во время создания цепочки проверки подлинности

    Установите этот флажок, чтобы включить прямую проверку подлинности пользователя. Пользователям не требуется повторно вводить учетные данные.

    Количество попыток вызвать сервер Radius

    Введите общее количество повторных попыток. Если первичный сервер не отвечает, служба ждет истечения заданного времени перед повторной попыткой.

    Время ожидания сервера в секундах

    Введите время ожидания сервера RADIUS в секундах, по истечении которого отправляется повторный запрос, если сервер RADIUS не отвечает.

    Имя сервера или адрес сервера Radius

    Введите имя узла или IP-адрес сервера RADIUS.

    Порт проверки подлинности

    Введите номер порта проверки подлинности Radius. Как правило, используется порт 1812.

    Порт для учетных данных

    Введите 0 в качестве номера порта. Порт для учетных данных в настоящее время не используется.

    Тип проверки подлинности

    Введите протокол проверки подлинности, который поддерживается сервером RADIUS. Значение PAP, CHAP, MSCHAP1 ИЛИ MSCHAP2.

    Общий секретный ключ

    Введите общий секретный ключ, который используется сервером RADIUS и службой VMware Identity Manager.

    Префикс области

    (Необязательно.) Место расположения учетной записи пользователя называется «область».

    Если ввести строку префикса области, строка помещается в начале имени пользователя при его передаче на сервер RADIUS. Например, если введено имя пользователя jdoe и указан префикс области DOMAIN-A\, на сервер RADIUS будет отправлено имя пользователя DOMAIN-A\jdoe. Если не настраивать эти текстовые поля, то будет отправляться только введенное имя пользователя.

    Суффикс области

    (Необязательно.) Если указать суффикс области, то эта строка размещается в конце имени пользователя. Например, если указать суффикс @myco.com, на сервер RADIUS будет отправлено имя пользователя [email protected].

  5. Для обеспечения высокой доступности можно задействовать дополнительный сервер RADIUS.

    Настройка дополнительного сервера осуществляется, как описано в шаге 4.

  6. Нажмите кнопку Сохранить.

Дальнейшие действия

Включите метод проверки подлинности с помощью RADIUS во встроенном поставщике удостоверений на вкладке «Управление учетными данными и доступом > Управление». См. раздел Использование встроенных поставщиков удостоверений.

Добавьте метод проверки подлинности с помощью RADIUS в политику доступа по умолчанию. Перейдите на страницу «Управление учетными данными и доступом > Управление > Политики» и измените правила политики по умолчанию, добавив в правило метод проверки подлинности с помощью RADIUS. См. раздел Управление способами проверки подлинности, применяемыми для пользователей.