Citrix ADC

Directivas de autenticación RADIUS

Al igual que con otros tipos de directivas de autenticación, una directiva de autenticación del Servicio de usuario de marcado de autenticación remota (RADIUS) se compone de una expresión y una acción. Después de crear una directiva de autenticación, la vincula a un servidor virtual de autenticación y le asigna una prioridad. Al vincularlo, también se designa como directiva principal o secundaria. Sin embargo, la configuración de una directiva de autenticación RADIUS tiene ciertos requisitos especiales que se describen a continuación.

Normalmente, se configura Citrix ADC para que utilice la dirección IP del servidor de autenticación durante la autenticación. Con los servidores de autenticación RADIUS, ahora puede configurar el ADC para que utilice el FQDN del servidor RADIUS en lugar de su dirección IP para autenticar a los usuarios. El uso de un FQDN puede simplificar una configuración de autenticación, autorización y auditoría mucho más compleja en entornos en los que el servidor de autenticación podría estar en cualquiera de varias direcciones IP, pero siempre utiliza un único FQDN. Para configurar la autenticación mediante el FQDN de un servidor en lugar de su dirección IP, siga el proceso de configuración normal excepto al crear la acción de autenticación. Al crear la acción, se sustituye el parámetro serverName por el parámetro serverIP.

Antes de decidir si quiere configurar Citrix ADC para utilizar la IP o el FQDN de su servidor RADIUS para autenticar a los usuarios, tenga en cuenta que configurar la autenticación, la autorización y la auditoría para autenticarse en un FQDN en lugar de en una dirección IP agrega un paso adicional al proceso de autenticación. Cada vez que el ADC autentica a un usuario, debe resolver el FQDN. Si muchos usuarios intentan autenticarse simultáneamente, las búsquedas DNS resultantes podrían ralentizar el proceso de autenticación.

Nota

Estas instrucciones suponen que ya está familiarizado con el protocolo RADIUS y que ya ha configurado el servidor de autenticación RADIUS elegido.

Para obtener más información acerca de cómo configurar directivas de autenticación en general, consulte Directivas de autenticación. Para obtener más información acerca de las expresiones del dispositivo Citrix ADC, que se utilizan en la regla de directiva, consulte Directivas y expresiones.

Para agregar una acción de autenticación para un servidor RADIUS mediante la interfaz de línea de comandos

Si autentica en un servidor RADIUS, debe agregar una acción de autenticación explícita. Para ello, en el símbolo del sistema, escriba el siguiente comando:

add authentication radiusAction <name> [-serverip <IP> | -serverName] <FQDN>][-serverPort <port>] [-authTimeout <positive_integer>] {-radKey } [-radNASip ( ENABLED | DISABLED )][-radNASid <string>] [-radVendorID <positive_integer>][-radAttributeType <positive_integer>][-radGroupsPrefix <string>] [-radGroupSeparator <string>][-passEncoding <passEncoding>][-ipVendorID <positive_integer>] [-ipAttributeType <positive_integer>][-accounting ( ON | OFF )][-pwdVendorID <positive_integer> [-pwdAttributeType <positive_integer>]] [-defaultAuthenticationGroup <string>] [-callingstationid ( ENABLED | DISABLED )]

En el ejemplo siguiente se agrega una acción de autenticación RADIUS denominada Authn-Act-1, con la IP de servidor 10.218.24.65, el puerto de servidor 1812, el tiempo de espera de autenticación de 15 minutos, la clave RADIUS WareTheLorax, la IP NAS inhabilitada y el ID NAS NAS1.

> add authentication radiusaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1
Done

En el ejemplo siguiente se agrega la misma acción de autenticación RADIUS, pero se utiliza el servidor FQDN rad01.example.com en lugar de la IP.

> add authentication radiusaction Authn-Act-1 -serverName rad01.example.com -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1
Done

Para configurar una acción de autenticación para un servidor RADIUS externo mediante la línea de comandos

Para configurar una acción RADIUS existente, en el símbolo del sistema, escriba el siguiente comando:

set authentication radiusAction <name> [-serverip <IP> | -serverName] <FQDN>][-serverPort <port>] [-authTimeout <positive_integer>] {-radKey } [-radNASip ( ENABLED | DISABLED )][-radNASid <string>] [-radVendorID <positive_integer>][-radAttributeType <positive_integer>][-radGroupsPrefix <string>] [-radGroupSeparator <string>][-passEncoding <passEncoding>][-ipVendorID <positive_integer>] [-ipAttributeType <positive_integer>][-accounting ( ON | OFF )][-pwdVendorID <positive_integer> [-pwdAttributeType <positive_integer>]] [-defaultAuthenticationGroup <string>] [-callingstationid ( ENABLED | DISABLED )]

Para quitar una acción de autenticación para un servidor RADIUS externo mediante la interfaz de línea de comandos

Para quitar una acción RADIUS existente, en la solicitud de comando, escriba el siguiente comando:

rm authentication radiusAction <name>

Ejemplo

    > rm authentication radiusaction Authn-Act-1
    Done

Para configurar un servidor RADIUS mediante la utilidad de configuración

Nota

En la utilidad de configuración, se utiliza el término servidor en lugar de acción, pero se refiere a la misma tarea.

  1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Autenticación > Radio
  2. En el panel de detalles, en la ficha Servidores, realice una de las acciones siguientes:

    • Para crear un nuevo servidor RADIUS, haga clic en Agregar.
    • Para modificar un servidor RADIUS existente, seleccione el servidor y, a continuación, haga clic en Modificar.
  3. En el cuadro de diálogo Crear servidor RADIUS de autenticación o Configurar servidor RADIUS de autenticación, escriba o seleccione valores para los parámetros. Para rellenar los parámetros que aparecen debajo de Send Calling Station ID, expanda Detalles.

    • name*: RadiusActionName (no se puede cambiar para una acción configurada previamente)
    • Tipo de autenticación*: Authtype (Establecer en RADIUS, no se puede cambiar)
    • Nombre del servidor/Dirección IP*: Elija Nombre del servidor o IP del servidor

      • <FQDN>Nombre del servidor*: NombreServidor
      • Dirección IP*: ServerIP <IP> Si el servidor tiene asignada una dirección IP IPv6, active la casilla de verificación IPv6.
    • puerto*: ServerPort
    • Tiempo de espera (segundos) *: AuthTimeout
    • Clave secreta*: RadKey (secreto compartido RADIUS).
    • Confirmar clave secreta*: Escriba el secreto compartido RADIUS una segunda vez. (Sin equivalente de línea de comandos).
    • ID de estación de llamada de envío: ID de llamada
    • Identificador de proveedor de grupo: Radvendorid
    • Tipo de atributo de grupo: RadattributeType
    • Identificador de proveedor de direcciones IP: IPVendorid
    • pwdVendorid—pwdVendorid
    • Codificación de contraseñas: PassenCoding
    • Grupo de autenticación predeterminado: DefaultAuthenticationGroup
    • ID del NAS: RADNasid
    • Habilitar extracción de direcciones IP del NAS: RADNasip
    • Prefijo de grupo: RadGroupsPrefix
    • Separador de grupo: RadGroupSeparator
    • Tipo de atributo de dirección IP: IPattributeType
    • Tipo de atributo de contraseña: PWDateTributType
    • Contabilidad—Contabilidad
  4. Haga clic en Crear o Aceptar. La directiva que ha creado aparece en la página Servidores.

Soporte para pasar a través del atributo 66 RADIUS (Tunnel-Client-Endpoint)

El dispositivo Citrix ADC ahora permite el paso a través del atributo RADIUS 66 (Tunnel-Client-Endpoint) durante la autenticación RADIUS. Al aplicar esta función, la dirección IP de los clientes se recibe mediante autenticación de segundo factor de confiar para tomar decisiones de autenticación basadas en riesgos.

Se introduce un nuevo atributo “TunnelEndPointClientIP” en el comando “add authentication RadiusAction” y “set RadiusParams”.

Para utilizar esta función, en el símbolo del sistema del dispositivo Citrix ADC, escriba:

  • add authentication radiusAction <name> {-serverIP <ip_addr|ipv6_addr|*> | {-serverName <string>}} [-serverPort <port>] … [-tunnelEndpointClientIP (ENABLED|DISABLED)]
  • set radiusParams {-serverIP <ip_addr|ipv6_addr|*> |{-serverName <string>}} [-serverPort<port>] … [-tunnelEndpointClientIP(ENABLED|DISABLED)]

Ejemplo

  • add authentication radiusAction radius -severIP 1.217.22.20 -serverName FQDN -serverPort 1812 -tunnelEndpointClientIp ENABLED
  • set radiusParams -serverIp 1.217.22.20 -serverName FQDN1 -serverPort 1812 -tunnelEndpointClientIP ENABLED

Compatibilidad con la validación de la autenticación RADIUS de extremo a extremo

El dispositivo Citrix ADC ahora puede validar la autenticación RADIUS de extremo a extremo a través de la GUI. Para validar esta función, se introduce un nuevo botón de “prueba” en la GUI. Un administrador de dispositivos Citrix ADC puede aprovechar esta función para obtener los siguientes beneficios:

  • Consolida el flujo completo (motor de paquetes: Demonio AAA: Servidor externo) para proporcionar un mejor análisis
  • Reduce el tiempo de validación y resolución de problemas relacionados con casos individuales

Tiene dos opciones para configurar y ver los resultados de las pruebas de autenticación de extremo a extremo RADIUS mediante la GUI.

Opción De sistema

  1. Vaya a Sistema > Autenticación > Directivas básicas > RADIUS, haga clic en la ficha Servidores.
  2. Seleccione la acción RADIUS disponible en la lista.
  3. En la página Configurar servidor RADIUS de autenticación, tiene dos opciones en la sección Configuración de conexiones.
  4. Para comprobar la conexión del servidor RADIUS, haga clic en la ficha Probar RADIUS Accesibilidad.
  5. Para ver la autenticación RADIUS de extremo a extremo, haga clic en el vínculo Probar conexión de usuario final.

Desde la opción Autenticación

  1. Vaya a Autenticación > Panel de control, seleccione la acción RADIUS disponible en la lista.
  2. En la página Configurar servidor RADIUS de autenticación, tiene dos opciones en la sección Configuración de conexiones.
  3. Para comprobar la conexión del servidor RADIUS, haga clic en la ficha Probar RADIUS Accesibilidad.
  4. Para ver el estado de autenticación RADIUS de extremo a extremo, haga clic en el vínculo Probar conexión de usuario final.