Citrix Gateway

RADIUS-Gruppenextraktion konfigurieren

Sie können RADIUS-Autorisierung konfigurieren, indem Sie eine Methode namens Gruppen-Extraktion verwenden. Durch die Konfiguration der Gruppenextraktion können Sie Benutzer auf Ihrem RADIUS-Server verwalten, anstatt sie zu Citrix Gateway hinzuzufügen.

Sie konfigurieren die RADIUS-Autorisierung mit einer Authentifizierungsrichtlinie und konfigurieren die Gruppen-Hersteller-ID (ID), den Gruppen-Attributtyp, das Gruppenpräfix und ein Gruppentrennzeichen. Wenn Sie die Richtlinie konfigurieren, fügen Sie einen Ausdruck hinzu und binden Sie die Richtlinie entweder global oder an einen virtuellen Server.

Konfigurieren von RADIUS unter Windows Server 2003

Wenn Sie Microsoft Internet Authentication Service (IAS) für die RADIUS-Autorisierung unter Windows Server 2003 verwenden, müssen Sie während der Konfiguration von Citrix Gateway die folgenden Informationen angeben:

  • Kreditoren-ID ist der herstellerspezifische Code, den Sie in IAS eingegeben haben.
  • Typ ist die vom Hersteller zugewiesene Attributnummer.
  • Attributname ist der Typ des Attributnamens, den Sie in IAS definiert haben. Der Standardname ist CTXSUserGroups=

Wenn IAS nicht auf dem RADIUS-Server installiert ist, können Sie ihn über Software in der Systemsteuerung installieren. Weitere Informationen finden Sie in der Windows-Onlinehilfe.

Verwenden Sie zum Konfigurieren von IAS die Microsoft Management Console (MMC), und installieren Sie das Snap-In für IAS. Folgen Sie dem Assistenten und stellen Sie sicher, dass Sie die folgenden Einstellungen auswählen:

  • Wählen Sie den lokalen Computer aus.
  • Wählen Sie RAS-Richtlinien aus, und erstellen Sie eine benutzerdefinierte Richtlinie.
  • Wählen Sie Windows-Gruppen für die Richtlinie aus.
  • Wählen Sie eines der folgenden Protokolle aus:
    • Microsoft Challenge-Handshake-Authentifizierungsprotokoll Version 2 (MS-CHAP v2)
    • Microsoft Challenge-Handshake-Authentifizierungsprotokoll (MS-CHAP)
    • Challenge-Handshake-Authentifizierungsprotokoll (CHAP)
    • Unverschlüsselte Authentifizierung (PAP, SPAP)
  • Wählen Sie das herstellerspezifische Attribut.

    Das herstellerspezifische Attribut muss die Benutzer, die Sie in der Gruppe auf dem Server definiert haben, mit den Benutzern auf Citrix Gateway übereinstimmen. Um diese Anforderung zu erfüllen, senden Sie die herstellerspezifischen Attribute an Citrix Gateway. Stellen Sie sicher, dass Sie RADIUS = Standard auswählen.

  • Der RADIUS-Standardwert ist 0. Verwenden Sie diese Nummer für den Kreditorencode.

  • Die vom Hersteller zugewiesene Attributnummer ist 0.

    Dies ist die zugewiesene Nummer für das Attribut Benutzergruppe. Das Attribut ist im Zeichenfolgenformat.

  • Wählen Sie String für das Attributformat aus.

    Der Attributwert erfordert den Attributnamen und die Gruppen.

    Für das Access Gateway lautet der Attributwert CTXSUserGroups=groupname. Wenn zwei Gruppen definiert sind, wie z. B. Sales und Finance, ist der Attributwert CTXSUserGroups=sales;finance. Trennen Sie jede Gruppe durch ein Semikolon.

  • Entfernen Sie alle anderen Einträge im Dialogfeld Einwählprofil bearbeiten, wobei der Eintrag herstellerspezifisch bleibt.

Nachdem Sie die RAS-Richtlinie in IAS konfiguriert haben, konfigurieren Sie die RADIUS-Authentifizierung und -Autorisierung auf Citrix Gateway.

Verwenden Sie beim Konfigurieren der RADIUS-Authentifizierung die Einstellungen, die Sie auf dem IAS-Server konfiguriert haben.

Konfigurieren von RADIUS für die Authentifizierung unter Windows Server 2008

Unter Windows Server 2008 konfigurieren Sie die RADIUS-Authentifizierung und Autorisierung mithilfe des Netzwerkrichtlinienservers (Network Policy Server, NPS), der den Internetauthentifizierungsdienst (IAS) ersetzt. Sie können den Server-Manager verwenden und Netzwerkrichtlinienserver als Rolle hinzufügen, um Netzwerkrichtlinienserver zu installieren.

Wählen Sie bei der Installation des Netzwerkrichtliniendienstes den Netzwerkrichtliniendienst aus. Nach der Installation können Sie RADIUS-Einstellungen für Ihr Netzwerk konfigurieren, indem Sie den NPS über Administrative Services im Startmenü starten. Wenn Sie den Netzwerkrichtlinienserver öffnen, fügen Sie Citrix Gateway als RADIUS-Client hinzu und konfigurieren dann Servergruppen.

Stellen Sie beim Konfigurieren des RADIUS-Clients sicher, dass Sie die folgenden Einstellungen auswählen:

  • Wählen Sie für den Kreditorennamen RADIUS Standard.
  • Notieren Sie sich den gemeinsamen geheimen Schlüssel, da Sie denselben gemeinsamen geheimen Schlüssel auf Citrix Gateway konfigurieren müssen.

Für die RADIUS-Gruppen benötigen Sie die IP-Adresse oder den Hostnamen des RADIUS-Servers. Ändern Sie die Standardeinstellungen nicht.

Nachdem Sie den RADIUS-Client und die Gruppen konfiguriert haben, konfigurieren Sie die Einstellungen in den folgenden beiden Richtlinien:

  • Verbindungsanforderungsrichtlinien, in denen Sie die Einstellungen für die Citrix Gateway-Verbindung konfigurieren, einschließlich des Typs des Netzwerkservers, der Bedingungen für die Netzwerkrichtlinie und der Einstellungen für die Richtlinie.
  • Netzwerkrichtlinien, in denen Sie die EAP-Authentifizierung (Extensible Authentication Protocol) und die herstellerspezifischen Attribute konfigurieren.

Wenn Sie die Verbindungsanforderungsrichtlinie konfigurieren, wählen Sie für den Typ des Netzwerkservers die Option Nicht angegeben aus. Anschließend konfigurieren Sie Ihren Zustand, indem Sie NAS-Port-Typ als Bedingung und Virtuell (VPN) als Wert auswählen.

Wenn Sie eine Netzwerkrichtlinie konfigurieren, müssen Sie die folgenden Einstellungen konfigurieren:

  • Wählen Sie RAS-Server (VPN-Einwahl) als Typ des Netzwerkzugriffsservers aus.

  • Wählen Sie Verschlüsselte Authentifizierung (CHAP) und Unverschlüsselte Authentifizierung (PAP und SPAP) für das EAP aus.

  • Wählen Sie RADIUS-Standard als herstellerspezifisches Attribut.

    Die Standard-Attributnummer ist 26. Dieses Attribut wird für die RADIUS-Autorisierung verwendet.

    Citrix Gateway benötigt das herstellerspezifische Attribut, um die Benutzer, die in der Gruppe auf dem Server definiert sind, mit denen auf Citrix Gateway übereinstimmen zu können. Dies geschieht, indem die herstellerspezifischen Attribute an das Citrix Gateway gesendet werden.

  • Wählen Sie String für das Attributformat aus.

    Der Attributwert erfordert den Attributnamen und die Gruppen.

    Für Citrix Gateway lautet der Attributwert CTXSUserGroups= groupname. Wenn zwei Gruppen definiert sind, wie z. B. Sales und Finance, ist der Attributwert CTXSUserGroups=sales;finance. Trennen Sie jede Gruppe durch ein Semikolon.

  • Das Trennzeichen ist das, das Sie im NPS verwendet haben, um Gruppen zu trennen, z. B. ein Semikolon, ein Doppelpunkt, ein Leerzeichen oder einen Punkt.

Wenn Sie die Konfiguration der RAS-Richtlinie in IAS abgeschlossen haben, können Sie die RADIUS-Authentifizierung und -Autorisierung auf Citrix Gateway konfigurieren.

RADIUS-Gruppenextraktion konfigurieren