Citrix ADC

Stratégies d’authentification RADIUS

Comme pour les autres types de stratégies d’authentification, une stratégie d’authentification RADIUS (Remote Authentication Dial In User Service) comprend une expression et une action. Après avoir créé une stratégie d’authentification, vous la liez à un serveur virtuel d’authentification et lui attribuez une priorité. Lorsque vous la liez, vous la définissez également comme stratégie principale ou secondaire. Toutefois, la configuration d’une stratégie d’authentification RADIUS comporte certaines exigences particulières décrites ci-dessous.

Normalement, vous configurez Citrix ADC pour qu’il utilise l’adresse IP du serveur d’authentification lors de l’authentification. Avec les serveurs d’authentification RADIUS, vous pouvez maintenant configurer ADC pour qu’il utilise le nom de domaine complet du serveur RADIUS au lieu de son adresse IP pour authentifier les utilisateurs. L’utilisation d’un nom de domaine complet peut simplifier une configuration d’authentification, d’autorisation et d’audit beaucoup plus complexe dans les environnements où le serveur d’authentification peut se trouver à l’une des adresses IP multiples, mais utilise toujours un seul nom de domaine complet. Pour configurer l’authentification à l’aide du nom de domaine complet d’un serveur au lieu de son adresse IP, vous suivez le processus de configuration normal, sauf lors de la création de l’action d’authentification. Lors de la création de l’action, vous remplacez le paramètre ServerName par le paramètre ServerIP .

Avant de décider s’il convient de configurer Citrix ADC pour qu’il utilise l’adresse IP ou le nom de domaine complet de votre serveur RADIUS pour authentifier les utilisateurs, considérez que la configuration de l’authentification, de l’autorisation et de l’audit pour s’authentifier auprès d’un nom de domaine complet au lieu d’une adresse IP ajoute une étape supplémentaire au processus d’authentification. Chaque fois que ADC authentifie un utilisateur, il doit résoudre le nom de domaine complet. Si un grand nombre d’utilisateurs tentent de s’authentifier simultanément, les recherches DNS résultantes peuvent ralentir le processus d’authentification.

Remarque

Ces instructions supposent que vous connaissez déjà le protocole RADIUS et que vous avez déjà configuré le serveur d’authentification RADIUS choisi.

Pour plus d’informations sur la configuration des stratégies d’authentification en général, reportez-vous à la section Stratégies d’authentification. Pour plus d’informations sur les expressions d’appliance Citrix ADC, qui sont utilisées dans la règle de stratégie, reportez-vous à la section Stratégies et expressions.

Pour ajouter une action d’authentification pour un serveur RADIUS à l’aide de l’interface de ligne de commande

Si vous vous authentifiez sur un serveur RADIUS, vous devez ajouter une action d’authentification explicite. Pour ce faire, à l’invite de commandes, tapez la commande suivante :

add authentication radiusAction <name> [-serverip <IP> | -serverName] <FQDN>][-serverPort <port>] [-authTimeout <positive_integer>] {-radKey } [-radNASip ( ENABLED | DISABLED )][-radNASid <string>] [-radVendorID <positive_integer>][-radAttributeType <positive_integer>][-radGroupsPrefix <string>] [-radGroupSeparator <string>][-passEncoding <passEncoding>][-ipVendorID <positive_integer>] [-ipAttributeType <positive_integer>][-accounting ( ON | OFF )][-pwdVendorID <positive_integer> [-pwdAttributeType <positive_integer>]] [-defaultAuthenticationGroup <string>] [-callingstationid ( ENABLED | DISABLED )]

L’exemple suivant ajoute une action d’authentification RADIUS nommée Authn-Act-1, avec l’IP du serveur 10.218.24.65, le port du serveur 1812, le délai d’authentification de 15minutes, la clé rayon WarethElorax, l’IP du NAS désactivée et l’ID du NAS NAS1.

> add authentication radiusaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1
Done

L’exemple suivant ajoute la même action d’authentification RADIUS, mais en utilisant le nom de domaine complet du serveur rad01.example.com au lieu de l’adresse IP.

> add authentication radiusaction Authn-Act-1 -serverName rad01.example.com -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1
Done

Pour configurer une action d’authentification pour un serveur RADIUS externe à l’aide de la ligne de commande

Pour configurer une action RADIUS existante, à l’invite de commandes, tapez la commande suivante :

set authentication radiusAction <name> [-serverip <IP> | -serverName] <FQDN>][-serverPort <port>] [-authTimeout <positive_integer>] {-radKey } [-radNASip ( ENABLED | DISABLED )][-radNASid <string>] [-radVendorID <positive_integer>][-radAttributeType <positive_integer>][-radGroupsPrefix <string>] [-radGroupSeparator <string>][-passEncoding <passEncoding>][-ipVendorID <positive_integer>] [-ipAttributeType <positive_integer>][-accounting ( ON | OFF )][-pwdVendorID <positive_integer> [-pwdAttributeType <positive_integer>]] [-defaultAuthenticationGroup <string>] [-callingstationid ( ENABLED | DISABLED )]

Pour supprimer une action d’authentification pour un serveur RADIUS externe à l’aide de l’interface de ligne de commande

Pour supprimer une action RADIUS existante, à l’invite de commandes, tapez la commande suivante :

rm authentication radiusAction <name>

Exemple

    > rm authentication radiusaction Authn-Act-1
    Done

Pour configurer un serveur RADIUS à l’aide de l’utilitaire de configuration

Remarque

Dans l’utilitaire de configuration, le terme serveur est utilisé à la place de l’action, mais fait référence à la même tâche.

  1. Accédez à Sécurité > AAA - Trafic des applications > Stratégies > Authentification > Rayon
  2. Dans le volet d’informations, sous l’onglet Serveurs, effectuez l’une des opérations suivantes :

    • Pour créer un serveur RADIUS, cliquez sur Ajouter.
    • Pour modifier un serveur RADIUS existant, sélectionnez le serveur, puis cliquez sur Modifier.
  3. Dans la boîte de dialogue Créer un serveur RADIUSd’authentification ou Configurer un serveur RADIUS d’authentification, tapez ou sélectionnez des valeurs pour les paramètres. Pour remplir les paramètres qui apparaissent sous l’ID de la station d’appel d’envoi, développez Détails.

    • name*—radiusActionName (Impossible de changer pour une action configurée précédemment)
    • Type d’authentification*: authtype (défini sur RADIUS, ne peut pas être modifié)
    • Nom du serveur/Adresse IP* : choisissez le nom du serveur ou l’adresse IP du serveur

      • <FQDN>Nom du serveur* : nom du serveur
      • Adresse IP*—ServerIP <IP> Si une adresse IP IPv6 est attribuée au serveur, activez la case à cocher IPv6.
    • Port*—serverPort
    • Délai d’expiration (secondes)*—AuthTimeout
    • Clé secrète*—Clé radkey (secret partagé RADIUS).
    • Confirmer la clé secrète *( Confirm Secret Key) : saisissez le secret partagé RADIUS une seconde fois. (Pas d’équivalent en ligne de commande.)
    • Envoyer l’ID de la station d’appel : CallingStationID
    • Identificateur du fournisseur de groupe—RadvendorID
    • Type d’attribut de groupe—RadAttributeType
    • Identificateur du fournisseur d’adresse IP : IPVendorID
    • PWDVendorID—PWDVendorID
    • Encodage de mot de passe : encodage de mot de passe
    • Groupe d’authentification par défaut—DefaultAuthenticationGroup
    • ID NAS : RADNASID
    • Activer l’extraction de l’adresse IP du NAS — RADNASIP
    • Préfixe de groupe—RadGroupsPrefix
    • Séparateur de groupe—RadGroupSeparator
    • Type d’attribut d’adresse IPAttributeType
    • Type d’attribut de mot de passe—PWDatTributeType
    • Comptabilité — Comptabilité
  4. Cliquez sur Créer ou sur OK. La stratégie que vous avez créée apparaît dans la page Serveurs.

Prise en charge de passer par l’attribut RADIUS 66 (Tunnel-Client-Endpoint)

L’appliance Citrix ADC autorise désormais la transmission de l’attribut RADIUS 66 (Tunnel-Client-Endpoint) pendant l’authentification RADIUS. En appliquant cette fonctionnalité, l’adresse IP des clients est reçue par l’authentification de second facteur de confier à prendre des décisions d’authentification basées sur le risque.

Un nouvel attribut « TunnelEndPointClientIP » est introduit à la fois dans la commande « add authentication RadiusAction » et « set RadiusParams ».

Pour utiliser cette fonctionnalité, à l’invite de commandes du dispositif Citrix ADC, tapez :

  • add authentication radiusAction <name> {-serverIP <ip_addr|ipv6_addr|*> | {-serverName <string>}} [-serverPort <port>] … [-tunnelEndpointClientIP (ENABLED|DISABLED)]
  • set radiusParams {-serverIP <ip_addr|ipv6_addr|*> |{-serverName <string>}} [-serverPort<port>] … [-tunnelEndpointClientIP(ENABLED|DISABLED)]

Exemple

  • add authentication radiusAction radius -severIP 1.217.22.20 -serverName FQDN -serverPort 1812 -tunnelEndpointClientIp ENABLED
  • set radiusParams -serverIp 1.217.22.20 -serverName FQDN1 -serverPort 1812 -tunnelEndpointClientIP ENABLED

Prise en charge de la validation de l’authentification RADIUS de bout en bout

L’appliance Citrix ADC peut désormais valider l’authentification RADIUS de bout en bout via l’interface graphique. Pour valider cette fonctionnalité, un nouveau bouton « test » est introduit dans l’interface graphique. Un administrateur d’appliance Citrix ADC peut tirer parti de cette fonctionnalité pour obtenir les avantages suivants :

  • Consolide le flux complet (moteur de paquets — démon AAA — serveur externe) pour une meilleure analyse
  • Réduction du temps de validation et de dépannage des problèmes liés à des scénarios individuels

Vous disposez de deux options pour configurer et afficher les résultats de test de l’authentification de bout en bout RADIUS à l’aide de l’interface graphique.

Option du système

  1. Accédez à Système > Authentification > Stratégies de base > RADIUS, cliquez sur l’onglet Serveurs.
  2. Sélectionnez l’action RADIUS disponible dans la liste.
  3. Sur la page Configurer le serveur RADIUS d’authentification, vous disposez de deux options sous la section Paramètres de connexion.
  4. Pour vérifier la connexion au serveur RADIUS, cliquez sur l’onglet Tester l’accessibilité RADIUS.
  5. Pour afficher l’authentification RADIUS de bout en bout, cliquez sur le lien Tester la connexion de l’utilisateur final .

À partir de l’option Authentification

  1. Accédez à Authentification > Tableau de bord, sélectionnez l’action RADIUS disponible dans la liste.
  2. Sur la page Configurer le serveur RADIUS d’authentification, vous disposez de deux options sous la section Paramètres de connexion.
  3. Pour vérifier la connexion au serveur RADIUS, cliquez sur l’onglet Tester l’accessibilité RADIUS.
  4. Pour afficher l’état de l’authentification RADIUS de bout en bout, cliquez sur le lien Tester la connexion de l’utilisateur final .