Включение метода проверки подлинности с помощью RADIUS и настройка параметров RADIUS осуществляются в консоли Workspace ONE Access.

Необходимые условия

Установите и настройте программное обеспечение RADIUS на сервере диспетчера проверки подлинности. Чтобы включить проверку подлинности с помощью RADIUS, выполните указания, приведенные в документации по конфигурации от поставщика.

Для настройки RADIUS в службе Workspace ONE Access требуются приведенные ниже сведения о сервере RADIUS.

  • IP-адрес или DNS-имя сервера RADIUS.
  • Номер порта проверки подлинности. Порт проверки подлинности обычно 1812.
  • Тип проверки подлинности. Типы проверки подлинности включают PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, версии 1 и 2).
  • Общий секретный ключ RADIUS, который используется для шифрования и расшифровки сообщений протокола RADIUS.
  • Определенные значения времени ожидания и повтора, необходимые для проверки подлинности с помощью RADIUS

Процедура

  1. В консоли Workspace ONE Access на вкладке «Управление учетными данными и доступом» выберите «Управление» > «Методы проверки подлинности уровня "Enterprise"».
  2. Щелкните СОЗДАТЬ и выберите «RADIUS (облачная среда)».
  3. Выберите каталог и служебный узел, для которых нужно настроить этот метод проверки подлинности.
  4. Настройте метод проверки подлинности с помощью RADIUS.
    Параметр Действие
    Разрешенное количество попыток проверки подлинности Введите максимальное количество неудачных попыток входа в систему с помощью RADIUS. По умолчанию дается пять попыток.
    Подсказка парольной фразы страницы входа Введите текстовую строку, которая будет отображаться на странице входа в качестве сообщения, указывающего пользователям ввести правильный секретный код RADIUS. Например, если это текстовое поле настроено как Сначала пароль AD, затем код доступа из SMS, то сообщение на странице входа будет иметь вид: Введите пароль AD, а затем секретный код из SMS.. Текстовая строка, используемая по умолчанию: Секретный код RADIUS.
    Включение прямой проверки подлинности для сервера RADIUS Установите этот флажок, чтобы включить прямую проверку подлинности пользователя. Если этот флажок установлен, пользователям не нужно повторно вводить учетные данные.

    Чтобы использовать прямую проверку подлинности на сервере RADIUS, имя пользователя нужно настроить одинаково на сервере RADIUS и в Active Directory. Обратите внимание, что имя пользователя JSmith в Active Directory не совпадает с именем jsmith на сервере RADIUS.

    Количество попыток подключения к серверу RADIUS Введите общее количество повторных попыток. Если основной сервер не отвечает, служба ждет истечения заданного времени перед повторной попыткой.
    Время ожидания сервера в секундах

    Введите время ожидания сервера RADIUS в секундах, по истечении которого отправляется повторный запрос, если сервер RADIUS не отвечает.

    Имя узла или адрес сервера RADIUS (Необязательно) Введите имя узла или IP-адрес сервера RADIUS.
    Порт проверки подлинности Введите номер порта для проверки подлинности с помощью RADIUS. Как правило, используется порт 1812.
    Порт для учетных данных Введите 0 в качестве номера порта. Порт для учетных данных в настоящее время не используется.
    Тип проверки подлинности Введите протокол проверки подлинности, который поддерживается сервером RADIUS. Значение PAP, CHAP, MSCHAP1 ИЛИ MSCHAP2.
    Общий секретный ключ Введите общий секретный ключ, который используется сервером RADIUS и службой Workspace ONE Access.
    Префикс области (Необязательно) Место расположения учетной записи пользователя называется «область». Введите используемый префикс области.

    Если ввести строку префикса области, строка помещается в начале имени пользователя при его передаче на сервер RADIUS. Например, если введено имя пользователя jdoe и указан префикс области DOMAIN-A\, на сервер RADIUS будет отправлено имя пользователя DOMAIN-A\jdoe. Если не настраивать эти текстовые поля области, то будет отправляться только введенное имя пользователя.

    Суффикс области (Необязательно) Если указать суффикс области, то эта строка размещается в конце имени пользователя. Например, если указать суффикс @myco.com, на сервер RADIUS будет отправлено имя пользователя [email protected].
  5. Для обеспечения высокой доступности можно задействовать дополнительный сервер RADIUS.
    Настройка дополнительного сервера осуществляется, как описано в шаге 4.
  6. Щелкните сначала ДАЛЕЕ, чтобы просмотреть конфигурацию, а затем — СОХРАНИТЬ.

Дальнейшие действия

Добавьте RADIUS в качестве метода проверки подлинности на странице настройки встроенного поставщика удостоверений.

Добавьте метод проверки подлинности с помощью RADIUS в политику доступа по умолчанию. Перейдите на страницу «Управление учетными данными и доступом > Управление > Политики» и измените правила политики по умолчанию, добавив в правило метод проверки подлинности с помощью RADIUS. См. раздел Управление применимыми к пользователям политиками доступа в Workspace ONE Access.

Чтобы обеспечить высокую доступность, свяжите метод проверки подлинности с помощью RADIUS с другими зарегистрированными соединителями Workspace ONE Access, в которых установлена корпоративная служба проверки подлинности пользователей.