ADC

Authentification RADIUS

Comme pour les autres types de politiques d’authentification, une politique d’authentification RADIUS (Remote Authentication Dial In User Service) comprend une expression et une action. Après avoir créé une stratégie d’authentification, vous la liez à un serveur virtuel d’authentification et vous lui attribuez une priorité. Lorsque vous la liez, vous la désignez également en tant que stratégie principale ou secondaire. Toutefois, la mise en place d’une politique d’authentification RADIUS comporte certaines exigences particulières qui sont décrites ci-dessous.

Normalement, vous configurez NetScaler pour qu’il utilise l’adresse IP du serveur d’authentification lors de l’authentification. Avec les serveurs d’authentification RADIUS, vous pouvez désormais configurer l’ADC pour qu’il utilise le nom de domaine complet du serveur RADIUS au lieu de son adresse IP pour authentifier les utilisateurs. L’utilisation d’un nom de domaine complet peut simplifier une configuration d’authentification, d’autorisation et d’audit autrement beaucoup plus complexe dans des environnements où le serveur d’authentification peut se trouver sur plusieurs adresses IP, mais utilise toujours un seul nom de domaine complet. Pour configurer l’authentification à l’aide du nom de domaine complet d’un serveur au lieu de son adresse IP, vous suivez le processus de configuration normal sauf lors de la création de l’action d’authentification. Lors de la création de l’action, vous remplacez le paramètre ServerName par le paramètre ServerIP .

Avant de décider de configurer NetScaler pour qu’il utilise l’adresse IP ou le nom de domaine complet de votre serveur RADIUS pour authentifier les utilisateurs, considérez que la configuration de l’authentification, de l’autorisation et de l’audit pour s’authentifier auprès d’un FQDN plutôt que d’une adresse IP ajoute une étape supplémentaire au processus d’authentification. Chaque fois que l’ADC authentifie un utilisateur, il doit résoudre le nom de domaine complet. Si un grand nombre d’utilisateurs tentent de s’authentifier simultanément, les recherches DNS qui en résultent peuvent ralentir le processus d’authentification.

Remarque

Ces instructions supposent que vous connaissez déjà le protocole RADIUS et que vous avez déjà configuré le serveur d’authentification RADIUS que vous avez choisi.

Pour ajouter une action d’authentification pour un serveur RADIUS à l’aide de l’interface de ligne de commande

Si vous vous authentifiez auprès d’un serveur RADIUS, vous devez ajouter une action d’authentification explicite. Pour ce faire, à l’invite de commandes, tapez la commande suivante :


add authentication radiusAction <name> [-serverip <IP> | -serverName] <FQDN>][-serverPort <port>] [-authTimeout <positive_integer>] {-radKey } [-radNASip ( ENABLED | DISABLED )][-radNASid <string>] [-radVendorID <positive_integer>][-radAttributeType <positive_integer>][-radGroupsPrefix <string>] [-radGroupSeparator <string>][-passEncoding <passEncoding>][-ipVendorID <positive_integer>] [-ipAttributeType <positive_integer>][-accounting ( ON | OFF )][-pwdVendorID <positive_integer> [-pwdAttributeType <positive_integer>]] [-defaultAuthenticationGroup <string>] [-callingstationid ( ENABLED | DISABLED )]

<!--NeedCopy-->

L’exemple suivant ajoute une action d’authentification RADIUS nomméeAuthn-Act-1, avec l’adresse IP du serveur10.218.24.65, le port du serveur1812, le délai d’authentification de15minutes, la clé RadiusWareTheLorax, l’adresse IP du NAS désactivée et l’ID NAS NAS1.


add authentication radiusaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1
Done

<!--NeedCopy-->

L’exemple suivant ajoute la même action d’authentification RADIUS, mais en utilisant le nom de domaine complet du serveur rad01.example.com au lieu de l’adresse IP.


add authentication radiusaction Authn-Act-1 -serverName rad01.example.com -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1
Done

<!--NeedCopy-->

Pour configurer une action d’authentification pour un serveur RADIUS externe à l’aide de la ligne de commande

Pour configurer une action RADIUS existante, à l’invite de commandes, tapez la commande suivante :


set authentication radiusAction <name> [-serverip <IP> | -serverName] <FQDN>][-serverPort <port>] [-authTimeout <positive_integer>] {-radKey } [-radNASip ( ENABLED | DISABLED )][-radNASid <string>] [-radVendorID <positive_integer>][-radAttributeType <positive_integer>][-radGroupsPrefix <string>] [-radGroupSeparator <string>][-passEncoding <passEncoding>][-ipVendorID <positive_integer>] [-ipAttributeType <positive_integer>][-accounting ( ON | OFF )][-pwdVendorID <positive_integer> [-pwdAttributeType <positive_integer>]] [-defaultAuthenticationGroup <string>] [-callingstationid ( ENABLED | DISABLED )]

<!--NeedCopy-->

Pour supprimer une action d’authentification pour un serveur RADIUS externe à l’aide de l’interface de ligne de commande

Pour supprimer une action RADIUS existante, tapez la commande suivante à l’invite de commandes :


rm authentication radiusAction <name>

<!--NeedCopy-->

Exemple


rm authentication radiusaction Authn-Act-1
Done

<!--NeedCopy-->

Pour configurer un serveur RADIUS à l’aide de l’utilitaire de configuration

Remarque

Dans l’utilitaire de configuration, le terme serveur est utilisé au lieu d’action, mais fait référence à la même tâche.

  1. Accédez à Sécurité > AAA - Trafic applicatif > Politiques > Authentification > Radius
  2. Dans le volet d’informations, sous l’onglet Serveurs, effectuez l’une des opérations suivantes :

    • Pour créer un nouveau serveur RADIUS, cliquez sur Ajouter.
    • Pour modifier un serveur RADIUS existant, sélectionnez le serveur, puis cliquez sur Modifier.
  3. Dans la boîte de dialogue Créer un serveur RADIUSd’authentification ou Configurer un serveur RADIUS d’authentification, tapez ou sélectionnez des valeurs pour les paramètres. Pour remplir les paramètres qui apparaissent sousSend Calling Station ID, développezDétails.

    • Name* : RadiusActionName (ne peut pas être modifié pour une action précédemment configurée)
    • Type d’authentification* : AuthType (défini sur RADIUS, ne peut pas être modifié)
    • Nom du serveur/Adresse IP* : choisissez le nom du serveur ou l’adresse IP du serveur

      • Nom du serveur*—serverName <FQDN>
      • Adresse IP*—serverIp <IP> Si une adresse IP IPv6 est attribuée au serveur, cochez la case IPv6.
    • Port* : port du serveur
    • Délai d’expiration (secondes) *—AuthTimeout
    • Clé secrète* : RADKey (secret partagé RADIUS.)
    • Confirmer la clé secrète* : saisissez le secret partagé RADIUS une seconde fois. (Aucun équivalent en ligne de commande.)
    • Envoyer l’identifiant du poste d’appel — ID du poste d’appel
    • Identifiant du fournisseur du groupe : RADvendorID
    • Type d’attribut de groupe : RADAttributeType
    • Identifiant du fournisseur d’adresses IP : IPVendorID
    • ID du fournisseur PWD — ID du fournisseur PWD
    • Codage du mot de passe — PassEncoding
    • Groupe d’authentification par défaut : groupe d’authentification par défaut
    • Identifiant NAS : identifiant NAS
    • Activer l’extraction des adresses IP du NAS — RadNasip
    • Préfixe de groupe—RadGroupPrefix
    • Séparateur de groupes : séparateur de groupe RAD
    • Type d’attribut d’adresse IP : IPAttributeType
    • Type d’attribut de mot de passe : PWDAttributeType
    • Comptabilité — Comptabilité
  4. Cliquez sur Créer ou sur OK. La politique que vous avez créée apparaît sur la page Serveurs.

Support pour passer par l’attribut RADIUS 66 (Tunnel-Client-Endpoint)

L’appliance NetScaler autorise désormais le transfert de l’attribut RADIUS 66 (Tunnel-Client-Endpoint) lors de l’authentification RADIUS. En appliquant cette fonctionnalité, l’adresse IP du client est reçue par authentification à second facteur, en confiant la prise de décisions d’authentification basées sur les risques.

Un nouvel attribut « TunnelEndpointClientIP » est introduit à la fois dans les commandes « add authentication RadiusAction » et « set RadiusParams ».

Pour utiliser cette fonctionnalité, à l’invite de commande de l’appliance NetScaler, tapez :


add authentication radiusAction <name> {-serverIP <ip_addr|ipv6_addr|*> | {-serverName <string>}} [-serverPort <port>] … [-tunnelEndpointClientIP (ENABLED|DISABLED)]

set radiusParams {-serverIP <ip_addr|ipv6_addr|*> |{-serverName <string>}} [-serverPort<port>] … [-tunnelEndpointClientIP(ENABLED|DISABLED)]

<!--NeedCopy-->

Exemple


add authentication radiusAction radius -severIP 1.217.22.20 -serverName FQDN -serverPort 1812 -tunnelEndpointClientIp ENABLED

set radiusParams -serverIp 1.217.22.20 -serverName FQDN1 -serverPort 1812 -tunnelEndpointClientIP ENABLED

<!--NeedCopy-->

Prise en charge de la validation de l’authentification RADIUS de bout en bout

L’appliance NetScaler peut désormais valider l’authentification RADIUS de bout en bout via une interface graphique. Pour valider cette fonctionnalité, un nouveau bouton « test » est introduit dans l’interface graphique. Un administrateur d’appliance NetScaler peut tirer parti de cette fonctionnalité pour bénéficier des avantages suivants :

  • Consolide le flux complet (moteur de paquets — démon aaa — serveur externe) pour fournir une meilleure analyse
  • Réduction du temps de validation et de dépannage des problèmes liés à des scénarios individuels

Vous disposez de deux options pour configurer et afficher les résultats des tests de l’authentification de bout en bout RADIUS à l’aide de l’interface graphique.

Depuis l’option système

  1. Accédez à Système > Authentification > Politiques de base > RADIUS, puis cliquez sur l’onglet Serveurs .
  2. Sélectionnez l’ action RADIUS disponible dans la liste.
  3. Sur la page Configurer le serveur RADIUS d’authentification, vous disposez de deux options dans la section Paramètres de connexion .
  4. Pour vérifier la connexion au serveur RADIUS, cliquez sur l’onglet Tester l’accessibilité de RADIUS .
  5. Pour consulter l’authentification RADIUS de bout en bout, cliquez sur le lien Tester la connexion de l’utilisateur final .

À partir de l’option d’authentification

  1. Accédez à Authentification > Tableau de bord, sélectionnez l’action RADIUS disponible dans la liste.
  2. Sur la page Configurer le serveur RADIUS d’authentification, vous disposez de deux options dans la section Paramètres de connexion .
  3. Pour vérifier la connexion au serveur RADIUS, cliquez sur l’onglet Tester l’accessibilité de RADIUS .
  4. Pour afficher l’état de l’authentification RADIUS de bout en bout, cliquez sur le lien Tester la connexion de l’utilisateur final .