ADC

Autenticación RADIUS

Como ocurre con otros tipos de directivas de autenticación, una directiva de autenticación con servicio de usuario telefónico (RADIUS) de autenticación remota se compone de una expresión y una acción. Después de crear una directiva de autenticación, la enlaza a un servidor virtual de autenticación y le asigna una prioridad. Al vincularlo, también lo designa como directiva principal o secundaria. Sin embargo, la configuración de una directiva de autenticación RADIUS tiene ciertos requisitos especiales que se describen a continuación.

Normalmente, el NetScaler se configura para utilizar la dirección IP del servidor de autenticación durante la autenticación. Con los servidores de autenticación RADIUS, ahora puede configurar el ADC para que utilice el FQDN del servidor RADIUS en lugar de su dirección IP para autenticar a los usuarios. El uso de un FQDN puede simplificar una configuración de autenticación, autorización y auditoría mucho más compleja en entornos en los que el servidor de autenticación puede estar en cualquiera de varias direcciones IP, pero siempre usa un único FQDN. Para configurar la autenticación mediante el FQDN de un servidor en lugar de su dirección IP, siga el proceso de configuración normal, excepto cuando cree la acción de autenticación. Al crear la acción, sustituya el parámetro ServerName por el parámetro ServerIP .

Antes de decidir si desea configurar NetScaler para que utilice la IP o el FQDN de su servidor RADIUS para autenticar a los usuarios, tenga en cuenta que configurar la autenticación, la autorización y la auditoría para autenticarse en un FQDN en lugar de en una dirección IP añade un paso adicional al proceso de autenticación. Cada vez que el ADC autentica a un usuario, debe resolver el FQDN. Si muchos usuarios intentan autenticarse simultáneamente, las búsquedas de DNS resultantes pueden ralentizar el proceso de autenticación.

Nota

Estas instrucciones asumen que ya está familiarizado con el protocolo RADIUS y que ya ha configurado el servidor de autenticación RADIUS elegido.

Para agregar una acción de autenticación para un servidor RADIUS mediante la interfaz de línea de comandos

Si se autentica en un servidor RADIUS, debe agregar una acción de autenticación explícita. Para ello, en la línea de comandos, escriba el siguiente comando:


add authentication radiusAction <name> [-serverip <IP> | -serverName] <FQDN>][-serverPort <port>] [-authTimeout <positive_integer>] {-radKey } [-radNASip ( ENABLED | DISABLED )][-radNASid <string>] [-radVendorID <positive_integer>][-radAttributeType <positive_integer>][-radGroupsPrefix <string>] [-radGroupSeparator <string>][-passEncoding <passEncoding>][-ipVendorID <positive_integer>] [-ipAttributeType <positive_integer>][-accounting ( ON | OFF )][-pwdVendorID <positive_integer> [-pwdAttributeType <positive_integer>]] [-defaultAuthenticationGroup <string>] [-callingstationid ( ENABLED | DISABLED )]

<!--NeedCopy-->

El siguiente ejemplo agrega una acción de autenticación RADIUS denominadaAuthn-Act-1, con la IP del servidor10.218.24.65, el puerto del servidor1812, el tiempo de espera de autenticación de15minutos, la clave de radiowareTheLorax, la IP del NAS inhabilitada y el ID de NAS NAS1.


add authentication radiusaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1
Done

<!--NeedCopy-->

El siguiente ejemplo agrega la misma acción de autenticación RADIUS, pero con el servidor FQDN rad01.example.com en lugar de la IP.


add authentication radiusaction Authn-Act-1 -serverName rad01.example.com -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1
Done

<!--NeedCopy-->

Para configurar una acción de autenticación para un servidor RADIUS externo mediante la línea de comandos

Para configurar una acción RADIUS existente, en la línea de comandos, escriba el siguiente comando:


set authentication radiusAction <name> [-serverip <IP> | -serverName] <FQDN>][-serverPort <port>] [-authTimeout <positive_integer>] {-radKey } [-radNASip ( ENABLED | DISABLED )][-radNASid <string>] [-radVendorID <positive_integer>][-radAttributeType <positive_integer>][-radGroupsPrefix <string>] [-radGroupSeparator <string>][-passEncoding <passEncoding>][-ipVendorID <positive_integer>] [-ipAttributeType <positive_integer>][-accounting ( ON | OFF )][-pwdVendorID <positive_integer> [-pwdAttributeType <positive_integer>]] [-defaultAuthenticationGroup <string>] [-callingstationid ( ENABLED | DISABLED )]

<!--NeedCopy-->

Para eliminar una acción de autenticación para un servidor RADIUS externo mediante la interfaz de línea de comandos

Para eliminar una acción RADIUS existente, en el símbolo del sistema, escriba el siguiente comando:


rm authentication radiusAction <name>

<!--NeedCopy-->

Ejemplo


rm authentication radiusaction Authn-Act-1
Done

<!--NeedCopy-->

Para configurar un servidor RADIUS mediante la utilidad de configuración

Nota

En la utilidad de configuración, se utiliza el término servidor en lugar de acción, pero se refiere a la misma tarea.

  1. Vaya a Seguridad > AAA: tráfico de aplicaciones > Directivas > Autenticación > Radius
  2. En el panel de detalles, en la ficha Servidores, realice una de las siguientes acciones:

    • Para crear un nuevo servidor RADIUS, haga clic en Agregar.
    • Para modificar un servidor RADIUS existente, seleccione el servidor y, a continuación, haga clic en Editar.
  3. En el cuadro de diálogo Crear servidor RADIUS de autenticación o Configurar servidor RADIUS de autenticación, escriba o seleccione valores para los parámetros. Para completar los parámetros que aparecen debajo de Send Calling Station ID, expanda Detalles.

    • Nombre*: radiusActionName (no se puede cambiar para una acción previamente configurada)
    • Tipo de autenticación*: AuthType (establecido en RADIUS, no se puede cambiar)
    • Nombre del servidor/Dirección IP*: elija el nombre del servidor o la IP del servidor

      • Nombre del servidor*—serverName <FQDN>
      • Dirección IP*—serverIp <IP> Si al servidor se le asigna una dirección IP IPv6, active la casilla de verificación IPv6.
    • Puerto*: puerto del servidor
    • Tiempo de espera (segundos) * —authTimeout
    • Clave secreta*: RadKey (secreto compartido de RADIUS).
    • Confirmar clave secreta*: escriba el secreto compartido de RADIUS por segunda vez. (Sin equivalente en la línea de comandos).
    • Enviar identificador de estación llamante—identificador de estación de llamada
    • Identificador de proveedores de grupo: RadVendoriD
    • Tipo de atributo de grupo: RadAttributeType
    • Identificador de proveedor de direcciones IP: IPvendorID
    • ID de proveedor de PWD — ID de proveedor de PWD
    • Codificación de contraseñas: codificación de pasajeros
    • Grupo de autenticación predeterminado: Grupo de autenticación predeterminado
    • ID de NAS: ID de radar
    • Habilitar la extracción de direcciones IP del NAS — RADNASIP
    • Prefijo de grupo — RadGroupsPrefix
    • Separador de grupos — RadGroupSeparator
    • Tipo de atributo de dirección IP: IPAttributeType
    • Tipo de atributo de contraseña: pwdAttributeType
    • Contabilidad: contabilidad
  4. Haga clic en Crear o Aceptar. La directiva que ha creado aparece en la página Servidores.

Soporte para pasar por el atributo RADIUS 66 (Tunnel-Client-Endpoint)

El dispositivo NetScaler ahora permite la transferencia del atributo RADIUS 66 (Tunnel-Client-Endpoint) durante la autenticación RADIUS. Al aplicar esta función, la dirección IP del cliente se recibe mediante una autenticación de segundo factor al encomendar la toma de decisiones de autenticación basadas en el riesgo.

Se introduce el nuevo atributo “TunnelEndPointClientIp” en los comandos “add authentication RadiusAction” y “set RadiusParams”.

Para utilizar esta función, en la línea de comandos del dispositivo NetScaler, escriba:


add authentication radiusAction <name> {-serverIP <ip_addr|ipv6_addr|*> | {-serverName <string>}} [-serverPort <port>] … [-tunnelEndpointClientIP (ENABLED|DISABLED)]

set radiusParams {-serverIP <ip_addr|ipv6_addr|*> |{-serverName <string>}} [-serverPort<port>] … [-tunnelEndpointClientIP(ENABLED|DISABLED)]

<!--NeedCopy-->

Ejemplo


add authentication radiusAction radius -severIP 1.217.22.20 -serverName FQDN -serverPort 1812 -tunnelEndpointClientIp ENABLED

set radiusParams -serverIp 1.217.22.20 -serverName FQDN1 -serverPort 1812 -tunnelEndpointClientIP ENABLED

<!--NeedCopy-->

Compatibilidad con la validación de la autenticación RADIUS de extremo a extremo

El dispositivo NetScaler ahora puede validar la autenticación RADIUS de extremo a extremo mediante una GUI. Para validar esta función, se introduce un nuevo botón de “prueba” en la GUI. El administrador de un dispositivo NetScaler puede aprovechar esta función para lograr los siguientes beneficios:

  • Consolida el flujo completo (motor de paquetes — daemon aaa — servidor externo) para proporcionar un mejor análisis
  • Reduce el tiempo de validación y resolución de problemas relacionados con casos individuales

Tiene dos opciones para configurar y ver los resultados de las pruebas de autenticación de extremo a extremo de RADIUS mediante la interfaz gráfica de usuario.

Desde la opción del sistema

  1. Vaya a Sistema > Autenticación > Directivas básicas > RADIUS y haga clic en la ficha Servidores .
  2. Seleccione la acción RADIUS disponible de la lista.
  3. En la página Configurar el servidor RADIUS de autenticación, tiene dos opciones en la sección Configuración de conexiones .
  4. Para comprobar la conexión del servidor RADIUS, haga clic en la ficha Probar la accesibilidad de RADIUS .
  5. Para ver la autenticación RADIUS de extremo a extremo, haga clic en el enlace Probar la conexión del usuario final .

Desde la opción de autenticación

  1. Vaya a Autenticación > Panelde control y seleccione la acción RADIUS disponible en la lista.
  2. En la página Configurar el servidor RADIUS de autenticación, tiene dos opciones en la sección Configuración de conexiones .
  3. Para comprobar la conexión del servidor RADIUS, haga clic en la ficha Probar la accesibilidad de RADIUS .
  4. Para ver el estado de la autenticación RADIUS de extremo a extremo, haga clic en el enlace Probar la conexión del usuario final .