Configuración de la extracción de grupos RADIUS

Puede configurar la autorización RADIUS mediante un método denominado extracción de grupo. La configuración de extracción de grupos permite administrar usuarios en el servidor RADIUS en lugar de agregarlos a Citrix Gateway.

Para configurar la autorización RADIUS, utilice una directiva de autenticación y configure el identificador de proveedor de grupo (ID), el tipo de atributo de grupo, el prefijo de grupo y un separador de grupo. Al configurar la directiva, agregue una expresión y, a continuación, vincule la directiva globalmente o a un servidor virtual.

Configuración de RADIUS en Windows Server 2003

Si utiliza Microsoft Internet Authentication Service (IAS) para la autorización RADIUS en Windows Server 2003, durante la configuración de Citrix Gateway, debe proporcionar la siguiente información:

  • ID de proveedor es el código específico del proveedor que ha introducido en IAS.
  • Tipo es el número de atributo asignado por el proveedor.
  • Nombre de atributo es el tipo de nombre de atributo definido en IAS. El nombre predeterminado es ctXsuserGroups=

Si IAS no está instalado en el servidor RADIUS, puede instalarlo desde Agregar o quitar programas en el Panel de control. Para obtener más información, consulte la Ayuda en pantalla de Windows.

Para configurar IAS, utilice Microsoft Management Console (MMC) e instale el complemento para IAS. Siga el asistente y asegúrese de seleccionar la siguiente configuración:

  • Seleccione equipo local.
  • Seleccione Directivas de acceso remoto y cree una directiva personalizada.
  • Seleccione Grupos de Windows para la directiva.
  • Seleccione uno de los siguientes protocolos:
    • Protocolo de autenticación Challenge Handshake de Microsoft versión 2 (MS-CHAP v2)
    • Protocolo de autenticación de desafío mutuo de Microsoft (MS-CHAP)
    • Protocolo de autenticación por desafío mutuo (CHAP)
    • Autenticación sin cifrar (PAP, SPAP)
  • Seleccione el atributo específico del proveedor.

    El atributo específico del proveedor debe coincidir con los usuarios definidos en el grupo del servidor con los usuarios de Citrix Gateway. Para cumplir con este requisito, envíe los atributos específicos del proveedor a Citrix Gateway. Asegúrese de seleccionar RADIUS=Estándar.

  • El valor predeterminado de RADIUS es 0. Utilice este número para el código de proveedor.

  • El número de atributo asignado por el proveedor es 0.

    Este es el número asignado al atributo Grupo de usuarios. El atributo está en formato de cadena.

  • Seleccione Cadena para el formato de atributo.

    El valor de atributo requiere el nombre del atributo y los grupos.

    Para la puerta de enlace de acceso, el valor del atributo es ctxSuserGroups=GroupName. Si se definen dos grupos, como ventas y finanzas, el valor del atributo es ctxSuserGroups=Ventas; finanzas. Separe cada grupo con un punto y coma.

  • Elimine todas las demás entradas del cuadro de diálogo Editar perfil de marcado, dejando la que indica Específico del proveedor.

Después de configurar la directiva de acceso remoto en IAS, configure la autenticación y autorización RADIUS en Citrix Gateway.

Al configurar la autenticación RADIUS, utilice la configuración que haya configurado en el servidor IAS.

Configuración de RADIUS para la autenticación en Windows Server 2008

En Windows Server 2008, configurar la autenticación y autorización RADIUS mediante el Servidor de directivas de red (NPS), que reemplaza el Servicio de autenticación de Internet (IAS). Puede usar el Administrador del servidor y agregar NPS como rol para instalar NPS.

Cuando instale NPS, seleccione el Servicio de directivas de red. Después de la instalación, puede configurar la configuración de RADIUS para su red iniciando el NPS desde Servicios administrativos en el menú Inicio. Al abrir el NPS, agregue Citrix Gateway como cliente RADIUS y, a continuación, configure grupos de servidores.

Cuando configure el cliente RADIUS, asegúrese de seleccionar los siguientes valores:

  • Para el nombre del proveedor, seleccione RADIUS Standard.
  • Tenga en cuenta el secreto compartido porque deberá configurar el mismo secreto compartido en Citrix Gateway.

Para los grupos RADIUS, necesita la dirección IP o el nombre de host del servidor RADIUS. No cambie la configuración predeterminada.

Después de configurar el cliente y los grupos RADIUS, configure los valores en las dos directivas siguientes:

  • Directivas de solicitud de conexión en las que se configuran los valores de la conexión de Citrix Gateway, incluido el tipo de servidor de red, las condiciones de la directiva de red y la configuración de la directiva.
  • Directivas de red en las que se configura la autenticación del Protocolo de autenticación extensible (EAP) y los atributos específicos del proveedor.

Cuando configure la directiva de solicitud de conexión, seleccione No especificado para el tipo de servidor de red. A continuación, configure su condición seleccionando Tipo de puerto NAS como condición y Virtual (VPN) como valor.

Al configurar una directiva de red, debe configurar los siguientes valores:

  • Seleccione Servidor de acceso remoto (VPN Dial-up) como el tipo de servidor de acceso a la red.

  • Seleccione Autenticación cifrada (CHAP) y Autenticación sin cifrar (PAP y SPAP) para el EAP.

  • Seleccione Estándar RADIUS para el atributo específico del proveedor.

    El número de atributo predeterminado es 26. Este atributo se utiliza para la autorización RADIUS.

    Citrix Gateway necesita el atributo específico del proveedor para que coincida con los usuarios definidos en el grupo del servidor con los de Citrix Gateway. Esto se realiza enviando los atributos específicos del proveedor a Citrix Gateway.

  • Seleccione Cadena para el formato de atributo.

    El valor de atributo requiere el nombre del atributo y los grupos.

    Para Citrix Gateway, el valor del atributo es ctxsuserGroups= groupname. Si se definen dos grupos, como ventas y finanzas, el valor del atributo es ctxSuserGroups=Ventas; finanzas. Separe cada grupo con un punto y coma.

  • El separador es el que utilizó en el NPS para separar grupos, como un punto y coma, dos puntos, un espacio o un punto.

Cuando haya terminado de configurar la directiva de acceso remoto en IAS, puede configurar la autenticación y autorización RADIUS en Citrix Gateway.