Включение метода проверки подлинности с помощью RADIUS и настройка параметров RADIUS осуществляются в консоли Workspace ONE Access.

Необходимые условия

  • Установите и настройте программное обеспечение RADIUS на сервере диспетчера проверки подлинности. Чтобы включить проверку подлинности с помощью RADIUS, выполните указания, приведенные в документации по конфигурации от поставщика.

    Для настройки RADIUS в службе Workspace ONE Access требуются приведенные ниже сведения о сервере RADIUS.

    • IP-адрес или DNS-имя сервера RADIUS.
    • Номер порта проверки подлинности. Порт проверки подлинности обычно 1812.
    • Тип проверки подлинности. Типы проверки подлинности включают PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MSCHAP1, MSCHAP2 (Microsoft Challenge Handshake Authentication Protocol, версии 1 и 2).
    • Общий секретный ключ RADIUS, который используется для шифрования и расшифровки сообщений протокола RADIUS.
    • Определенные значения времени ожидания и повтора, необходимые для проверки подлинности с помощью RADIUS.
  • Служба проверки подлинности пользователей установлена в качестве компонента Workspace ONE Access Connector.

Процедура

  1. В консоли Workspace ONE Access на странице Интеграции > Методы проверки подлинности соединителя Connector щелкните Создать и выберите RADIUS (облачная среда).
  2. Для настройки с помощью этого метода проверки подлинности выберите Каталог и Служебный узел и нажмите Далее.
  3. Настройте параметры метода проверки подлинности RADIUS.
    Параметр Действие
    Разрешенное количество попыток проверки подлинности Введите максимальное количество неудачных попыток входа в систему с помощью RADIUS. По умолчанию дается пять попыток.
    Подсказка парольной фразы страницы входа Введите текстовую строку, которая будет отображаться на странице входа в качестве сообщения, указывающего пользователям ввести правильный секретный код RADIUS. Текстовая строка, используемая по умолчанию: Секретный код RADIUS. Сообщение по умолчанию: Введите секретный код RADIUS.
    Настраиваемая подсказка парольной фразы для страницы входа Если ввести в этом текстовом поле настраиваемую подсказку парольной фразы, она отобразится в виде сообщения на странице входа вместо подсказки парольной фразы страницы входа. Например, если в этом текстовом поле указать Введите пароль AD, а затем секретный код из SMS, сообщение на странице входа будет выглядеть так: Введите пароль AD, а затем секретный код из SMS.
    Включение прямой проверки подлинности для сервера RADIUS Измените значение «НЕТ» на «ДА», чтобы включить прямую проверку подлинности пользователей. Пользователям не требуется повторно вводить учетные данные. В этом случае для пароля используется одно и то же имя пользователя.

    Включите этот параметр, только если на сервере RADIUS настроен вызов доступа.

    Чтобы использовать прямую проверку подлинности на сервере RADIUS, имя пользователя нужно настроить одинаково на сервере RADIUS и в Active Directory. Обратите внимание, что имя пользователя JSmith в Active Directory не совпадает с именем jsmith на сервере RADIUS.

    Количество попыток подключения к серверу RADIUS Введите общее количество повторных попыток. Если основной сервер не отвечает, служба ждет истечения заданного времени перед повторной попыткой.
    Время ожидания сервера в секундах

    Введите время ожидания сервера RADIUS в секундах, по истечении которого отправляется повторный запрос, если сервер RADIUS не отвечает.

    Имя узла или адрес сервера RADIUS (Необязательно) Введите имя узла или IP-адрес сервера RADIUS.
    Порт проверки подлинности Введите номер порта для проверки подлинности с помощью RADIUS. Как правило, используется порт 1812.
    Порт для учетных данных Введите 0 в качестве номера порта. Порт для учетных данных в настоящее время не используется.
    Тип проверки подлинности Введите протокол проверки подлинности, который поддерживается сервером RADIUS. Значение PAP, CHAP, MSCHAP1 ИЛИ MSCHAP2.
    Общий секретный ключ Введите общий секретный ключ, который используется сервером RADIUS и службой Workspace ONE Access.
    Префикс области (Необязательно) Место расположения учетной записи пользователя называется «область». Введите используемый префикс области.

    Если ввести строку префикса области, строка помещается в начале имени пользователя при его передаче на сервер RADIUS. Например, если введено имя пользователя jdoe и указан префикс области DOMAIN-A\, на сервер RADIUS будет отправлено имя пользователя DOMAIN-A\jdoe. Если не настраивать эти текстовые поля области, то будет отправляться только введенное имя пользователя.

    Суффикс области (Необязательно) Если указать суффикс области, то эта строка размещается в конце имени пользователя. Например, если указать суффикс @myco.com, на сервер RADIUS будет отправлено имя пользователя jdoe@myco.com.
    Включить базовую проверку MS-CHAP версии 2 Измените значение «НЕТ» на «ДА», чтобы включить базовую проверку MS-CHAPv2. Если для этого параметра установлено значение «ДА», дополнительная проверка ответа от сервера RADIUS пропускается. По умолчанию выполняется полная проверка.
  4. Для обеспечения высокой доступности можно задействовать дополнительный сервер RADIUS.
    Настройка дополнительного сервера осуществляется, как описано в шаге 4.
  5. Щелкните сначала ДАЛЕЕ, чтобы просмотреть конфигурацию, а затем — СОХРАНИТЬ.

Дальнейшие действия

Добавьте RADIUS в качестве метода проверки подлинности на странице настройки встроенного поставщика удостоверений.

Добавьте метод проверки подлинности с помощью RADIUS в политику доступа по умолчанию. В консоли перейдите на страницу Ресурсы > Политики и измените правила политики по умолчанию, добавив в правило метод проверки подлинности RADIUS. См. Управление политиками доступа в службе Workspace ONE Access.

Чтобы обеспечить высокую доступность, свяжите метод проверки подлинности с помощью RADIUS с другими зарегистрированными соединителями Workspace ONE Access Connector, в которых установлен компонент проверки подлинности пользователей для корпоративной службы.