RADIUS-Authentifizierungsrichtlinien

Wie bei anderen Typen von Authentifizierungsrichtlinien besteht eine RADIUS-Authentifizierungsrichtlinie (Remote Authentication Dial In User Service) aus einem Ausdruck und einer Aktion. Nachdem Sie eine Authentifizierungsrichtlinie erstellt haben, binden Sie sie an einen virtuellen Authentifizierungsserver und weisen ihm eine Priorität zu. Wenn Sie es binden, legen Sie es auch als primäre oder sekundäre Richtlinie fest. Das Einrichten einer RADIUS-Authentifizierungsrichtlinie hat jedoch bestimmte spezielle Anforderungen, die im Folgenden beschrieben werden.

Normalerweise konfigurieren Sie Citrix ADC für die Verwendung der IP-Adresse des Authentifizierungsservers während der Authentifizierung. Bei RADIUS-Authentifizierungsservern können Sie nun den ADC so konfigurieren, dass der FQDN des RADIUS-Servers anstelle seiner IP-Adresse zur Authentifizierung von Benutzern verwendet wird. Die Verwendung eines FQDN kann eine ansonsten viel komplexere Authentifizierungs-, Autorisierungs- und Überwachungskonfiguration in Umgebungen vereinfachen, in denen sich der Authentifizierungsserver möglicherweise an einer von mehreren IP-Adressen befindet, aber immer einen einzigen FQDN verwendet. Um die Authentifizierung mithilfe des FQDN eines Servers anstelle der IP-Adresse zu konfigurieren, führen Sie den normalen Konfigurationsprozess aus, außer wenn Sie die Authentifizierungsaktion erstellen. Beim Erstellen der Aktion ersetzen Sie den ServerName-Parameter durch den ServerIP-Parameter .

Bevor Sie entscheiden, ob Citrix ADC für die Verwendung der IP oder des FQDN des RADIUS-Servers zur Authentifizierung von Benutzern konfiguriert werden soll, sollten Sie berücksichtigen, dass das Konfigurieren von Authentifizierung, Autorisierung und Überwachung für die Authentifizierung bei einem FQDN anstelle einer IP-Adresse einen zusätzlichen Schritt zum Authentifizierungsprozess hinzufügt. Jedes Mal, wenn der ADC einen Benutzer authentifiziert, muss er den FQDN auflösen. Wenn sehr viele Benutzer versuchen, sich gleichzeitig zu authentifizieren, können die resultierenden DNS-Lookups den Authentifizierungsprozess verlangsamen.

Hinweis:

Diese Anweisungen gehen davon aus, dass Sie bereits mit dem RADIUS-Protokoll vertraut sind und Ihren gewählten RADIUS-Authentifizierungsserver bereits konfiguriert haben.

Weitere Informationen zum Einrichten von Authentifizierungsrichtlinien im Allgemeinen finden Sie unter Authentifizierungsrichtlinien. Weitere Hinweise zu Citrix ADC Appliance-Ausdrücken, die in der Richtlinienregel verwendet werden, finden Sie unter Richtlinien und Ausdrücke.

So fügen Sie mit der Befehlszeilenschnittstelle eine Authentifizierungsaktion für einen RADIUS-Server hinzu

Wenn Sie sich bei einem RADIUS-Server authentifizieren, müssen Sie eine explizite Authentifizierungsaktion hinzufügen. Geben Sie hierzu an der Eingabeaufforderung den folgenden Befehl ein:


add authentication radiusAction <name> [-serverip <IP> | -serverName] <FQDN>][-serverPort <port>] [-authTimeout <positive_integer>] {-radKey } [-radNASip ( ENABLED | DISABLED )][-radNASid <string>] [-radVendorID <positive_integer>][-radAttributeType <positive_integer>][-radGroupsPrefix <string>] [-radGroupSeparator <string>][-passEncoding <passEncoding>][-ipVendorID <positive_integer>] [-ipAttributeType <positive_integer>][-accounting ( ON | OFF )][-pwdVendorID <positive_integer> [-pwdAttributeType <positive_integer>]] [-defaultAuthenticationGroup <string>] [-callingstationid ( ENABLED | DISABLED )]

Im folgenden Beispiel wird eine RADIUS-Authentifizierungsaktion mit dem Namen Authn-Act-1 hinzugefügt, wobei die Server-IP 10.218.24.65, der Serverport 1812, das Authentifizierungszeitlimit 15 Minuten, der Radiusschlüssel WareTheLorax, NAS-IP deaktiviert und NAS-ID NAS1.


> add authentication radiusaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1
Done

Im folgenden Beispiel wird dieselbe RADIUS-Authentifizierungsaktion hinzugefügt, wobei jedoch der Server-FQDN rad01.example.com anstelle der IP-Adresse verwendet wird.


> add authentication radiusaction Authn-Act-1 -serverName rad01.example.com -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1
Done

So konfigurieren Sie eine Authentifizierungsaktion für einen externen RADIUS-Server mit der Befehlszeile

Um eine vorhandene RADIUS-Aktion zu konfigurieren, geben Sie an der Eingabeaufforderung den folgenden Befehl ein:


set authentication radiusAction <name> [-serverip <IP> | -serverName] <FQDN>][-serverPort <port>] [-authTimeout <positive_integer>] {-radKey } [-radNASip ( ENABLED | DISABLED )][-radNASid <string>] [-radVendorID <positive_integer>][-radAttributeType <positive_integer>][-radGroupsPrefix <string>] [-radGroupSeparator <string>][-passEncoding <passEncoding>][-ipVendorID <positive_integer>] [-ipAttributeType <positive_integer>][-accounting ( ON | OFF )][-pwdVendorID <positive_integer> [-pwdAttributeType <positive_integer>]] [-defaultAuthenticationGroup <string>] [-callingstationid ( ENABLED | DISABLED )]

So entfernen Sie eine Authentifizierungsaktion für einen externen RADIUS-Server mit der Befehlszeilenschnittstelle

Um eine vorhandene RADIUS-Aktion zu entfernen, geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

rm authentication radiusAction <name>

Beispiel

    > rm authentication radiusaction Authn-Act-1
    Done

So konfigurieren Sie einen RADIUS-Server mit dem Konfigurationsdienstprogramm

Hinweis:

Im Konfigurationsdienstprogramm wird der Termserver anstelle von Aktion verwendet, bezieht sich aber auf dieselbe Aufgabe.

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Radius
  2. Führen Sie im Detailbereich auf der Registerkarte Server eine der folgenden Aktionen aus:

    • Klicken Sie auf Hinzufügen, um einen neuen RADIUS-Server zu erstellen.
    • Um einen vorhandenen RADIUS-Server zu ändern, wählen Sie den Server aus, und klicken Sie dann auf Bearbeiten.
  3. Geben Sie im Dialogfeld Authentifizierungs-RADIUS-Server erstellen oder Authentifizierungs-RADIUS-Server konfigurieren Werte für die Parameter ein oder wählen Sie sie aus. Um Parameter auszufüllen, die unter der Send Calling Station ID angezeigt werden, erweitern Sie Details.

    • Name* — RadiusActionName (Kann für eine zuvor konfigurierte Aktion nicht geändert werden)
    • Authentifizierungstyp * — AuthType (auf RADIUS gesetzt, kann nicht geändert werden)
    • Servername/IP-Adresse* — Wählen Sie entweder den Servernamen oder die Server-IP.

      • Servername*—serverName <FQDN>
      • IP-Adresse* — ServerIP <IP> Wenn dem Server eine IPv6-IP-Adresse zugewiesen ist, aktivieren Sie das Kontrollkästchen IPv6.
    • Port*—serverPort
    • Timeout (Sekunden) *— AuthTimeout
    • Geheimschlüssel* — Radkey (RADIUS Shared Secret.)
    • Geheimen Schlüssel bestätigen* — Geben Sie den gemeinsam genutzten RADIUS-Schlüssel ein zweites Mal ein. (Keine Befehlszeilenäquivalent.)
    • Rufstellen-ID senden — callingstationid
    • Gruppen-Anbieter-Identifizierung—radVendorID
    • Gruppen-Attributtyp — radAttributeType
    • IP-Adresse Anbieter-Identifizierung—ipVendorID
    • PWDVEndorID — pwdVendorID
    • Kennwort-Codierung — passEncoding
    • Standardauthentifizierungsgruppe — defaultAuthenticationGroup
    • NAS-ID — radNASid
    • NAS-IP-Adressenextrahierung aktivieren — radNASip
    • Gruppenpräfix — radGroupsPrefix
    • Gruppentrennzeichen — radGroupSeparator
    • IP-Adressattributtyp — ipAttributeType
    • Kennwortattributtyp — pwdAttributeType
    • Accounting—accounting
  4. Klicken Sie auf Erstellen oder OK. Die von Ihnen erstellte Richtlinie wird auf der Seite Server angezeigt.

Unterstützung für die Durchleitung des RADIUS-Attributs 66 (Tunnel-Client-Endpunkt)

Die Citrix ADC Appliance ermöglicht nun die Durchleitung des RADIUS-Attributs 66 (Tunnel-Client-Endpunkt) während der RADIUS-Authentifizierung. Durch die Anwendung dieser Funktion wird die IP-Adresse des Clients von der zweiten Faktor-Authentifizierung empfangen, indem sie die risikobasierte Authentifizierungsentscheidung anvertraut.

Ein neues Attribut “TunnelEndPointClientIP” wird sowohl im Befehl “add authentication radiusAction” als auch im Befehl “set radiusParams” eingeführt.

Um dieses Feature zu verwenden, geben Sie an der Eingabeaufforderung der Citrix ADC Appliance Folgendes ein:

  • add authentication radiusAction <name> {-serverIP <ip_addr|ipv6_addr|*> | {-serverName <string>}} [-serverPort <port>] … [-tunnelEndpointClientIP (ENABLED|DISABLED)]
  • set radiusParams {-serverIP <ip_addr|ipv6_addr|*> |{-serverName <string>}} [-serverPort<port>] … [-tunnelEndpointClientIP(ENABLED|DISABLED)]

Beispiel

  • add authentication radiusAction radius -severIP 1.217.22.20 -serverName FQDN -serverPort 1812 -tunnelEndpointClientIp ENABLED
  • set radiusParams -serverIp 1.217.22.20 -serverName FQDN1 -serverPort 1812 -tunnelEndpointClientIP ENABLED

Unterstützung für die Validierung der End-to-End-RADIUS-Authentifizierung

Die Citrix ADC Appliance kann nun die End-to-End-RADIUS-Authentifizierung über GUI validieren. Um diese Funktion zu validieren, wird eine neue Schaltfläche “Test” in GUI eingeführt. Ein Citrix ADC Appliance-Administrator kann diese Funktion nutzen, um folgende Vorteile zu erzielen:

  • Konsolidiert den gesamten Fluss (Paketengine — AAA Daemon — externer Server), um eine bessere Analyse zu ermöglichen
  • Verkürzt die Zeit bei der Überprüfung und Behebung von Problemen im Zusammenhang mit einzelnen Szenarien

Sie haben zwei Optionen zum Konfigurieren und Anzeigen der Testergebnisse der RADIUS-End-to-End-Authentifizierung mit der GUI.

Von Systemoption

  1. Navigieren Sie zu System > Authentifizierung > Grundrichtlinien > RADIUS, und klicken Sie auf die Registerkarte Server.
  2. Wählen Sie die verfügbare RADIUS-Aktion aus der Liste aus.
  3. Auf der Seite Authentifizierungs-RADIUS-Server konfigurieren haben Sie zwei Optionen im Abschnitt Verbindungseinstellungen.
  4. Um die RADIUS-Serververbindung zu überprüfen, klicken Sie auf RADIUS-Erreichbarkeit testen.
  5. Um die End-to-End-RADIUS-Authentifizierung anzuzeigen, klicken Sie auf Endbenutzerverbindung testen .

Von Authentifizierungsoption

  1. Navigieren Sie zu Authentifizierung > Dashboard, und wählen Sie die verfügbare RADIUS-Aktion aus der Liste aus.
  2. Auf der Seite Authentifizierungs-RADIUS-Server konfigurieren haben Sie zwei Optionen im Abschnitt Verbindungseinstellungen.
  3. Um die RADIUS-Serververbindung zu überprüfen, klicken Sie auf RADIUS-Erreichbarkeit testen.
  4. Um den End-to-End-RADIUS-Authentifizierungsstatus anzuzeigen, klicken Sie auf Endbenutzerverbindung testen .