Workspace ONE Access 主控台中啟用 RADIUS 驗證方法並設定 RADIUS 設定。

必要條件

  • 在驗證管理員伺服器上安裝與設定 RADIUS 軟體。對於 RADIUS 驗證,請依照供應商的組態文件進行。

    需要下列 RADIUS 伺服器資訊,才能在 Workspace ONE Access 服務上設定 RADIUS。

    • RADIUS 伺服器的 IP 位址或 DNS 名稱。
    • 驗證連接埠號碼。驗證連接埠通常為 1812。
    • 驗證類型。驗證類型包括 PAP (密碼驗證通訊協定)、CHAP (Challenge Handshake 驗證通訊協定)、MSCHAP1、MSCHAP2 (Microsoft Challenge Handshake 驗證通訊協定,版本 1 和 2)。
    • 用於在 RADIUS 通訊協定訊息中加密和解密的 RADIUS 共用密碼。
    • RADIUS 驗證所需的特定逾時和重試值。
  • 安裝為 Workspace ONE Access Connector 元件的使用者驗證服務。

程序

  1. Workspace ONE Access 主控台的整合 > 連接器驗證方法頁面中,按一下新增,然後選取 RADIUS (雲端部署)
  2. 若要使用此驗證方法進行設定,請選取目錄服務主機,然後按下一步
  3. 設定 RADIUS 驗證方法的設定。
    選項 動作
    允許嘗試的驗證次數 輸入使用 RADIUS 登入時,登入嘗試失敗的次數上限。預設為五次嘗試。
    登入頁面複雜密碼提示 輸入要在使用者登入頁面上顯示為訊息的文字字串,以引導使用者輸入正確的 RADIUS 通行碼。預設的文字字串為 RADIUS 通行碼。預設訊息為請輸入 RADIUS 通行碼
    登入頁面的自訂複雜密碼提示 如果您在此文字方塊中輸入自訂複雜密碼提示,此提示會顯示為使用者登入頁面上的訊息,以取代登入頁面複雜密碼提示。例如,如果將此文字方塊設定為先輸入您的 AD 密碼然後輸入 SMS 通行碼,登入頁面訊息會顯示先輸入您的 AD 密碼然後輸入 SMS 通行碼
    啟用對 RADIUS 伺服器的直接驗證 將 [否] 變更為可啟用直接使用者驗證。使用者不需要重新輸入其認證。在此情況下,系統會針對密碼使用相同的使用者名稱。

    僅在已於 RADIUS 伺服器中設定存取挑戰時,才啟用此選項。

    若要對 RADIUS 伺服器使用直接驗證,必須以相同的方式在 RADIUS 伺服器和 Active Directory 中設定使用者名稱。請注意,Active Directory 中的使用者名稱 JSmith 不符合 RADIUS 伺服器中的 jsmith

    對 RADIUS 伺服器的嘗試次數 輸入重試嘗試的總數。如果主要伺服器未回應,服務會等待設定的時間經過後再次進行重試。
    伺服器逾時 (以秒為單位)

    輸入 RADIUS 伺服器逾時 (以秒為單位),在此時間之後,如果 RADIUS 伺服器未回應,即會傳送重試。

    RADIUS 伺服器主機名稱/位址 (選用) 輸入 RADIUS 伺服器的主機名稱或 IP 位址。
    驗證連接埠 輸入 RADIUS 驗證連接埠號碼。連接埠通常為 1812。
    帳戶處理連接埠 輸入 0 做為連接埠號碼。目前未使用帳戶處理連接埠。
    驗證類型 輸入 RADIUS 伺服器支援的驗證通訊協定。可以是 PAP、CHAP、MSCHAP1 或 MSCHAP2。
    共用密碼 輸入在 RADIUS 伺服器和 Workspace ONE Access 服務之間使用的共用密碼。
    領域字首 (選用) 使用者帳戶位置稱為領域。輸入要使用的領域首碼。

    如果您輸入領域首碼字串,則該名稱傳送至 RADIUS 伺服器時會放置在使用者名稱的開頭。例如,如果輸入的使用者名稱為 jdoe,並指定領域首碼 DOMAIN-A\,則會將使用者名稱 DOMAIN-A\jdoe 傳送至 RADIUS 伺服器。如果不設定 [領域] 文字方塊,則只會傳送所輸入的使用者名稱。

    領域字尾 (選用) 如果您指定領域尾碼,則會在使用者名稱的結尾放置該字串。例如,如果尾碼為 @myco.com,則會傳送使用者名稱 jdoe@myco.com 至 RADIUS 伺服器。
    啟用基本 MSCHAPv2 驗證 將 [否] 變更為可啟用基本的 MS-CHAPv2 驗證。如果此選項設為 [是],則會略過來自來自 RADIUS 伺服器回應的額外驗證。依預設會執行完整驗證。
  4. 您可以啟用次要 RADIUS 伺服器以獲得高可用性。
    如步驟 4 所述設定次要伺服器。
  5. 下一步以檢閱組態,然後按一下儲存

下一步

將 RADIUS 新增為內建身分識別提供者組態頁面的驗證方法。

將 RADIUS 驗證方法新增至預設存取原則。在主控台中,移至資源 > 原則頁面,然後編輯預設原則規則,以將 RADIUS 驗證方法新增到規則。請參閱 在 Workspace ONE Access 服務中管理存取原則

若要獲得高可用性,請將此 RADIUS 驗證方法與已安裝企業服務「使用者驗證」元件的其他已登錄 Workspace ONE Access Connector 建立關聯。