身份验证、授权和审核应用程序流量

RADIUS 身份验证策略

与其他类型的身份验证策略一样,远程身份验证拨号用户服务 (RADIUS) 身份验证策略由表达式和操作组成。创建身份验证策略后,将其绑定到身份验证虚拟服务器并为其分配优先级。绑定它时,您还将其指定为主策略或辅助策略。但是,设置 RADIUS 身份验证策略具有下面介绍的某些特殊要求。

通常,您可以将 Citrix ADC 配置为在身份验证期间使用身份验证服务器的 IP 地址。借助 RADIUS 身份验证服务器,您现在可以将 ADC 配置为使用 RADIUS 服务器的 FQDN 而不是其 IP 地址对用户进行身份验证。在身份验证服务器可能位于多个 IP 地址中的任何一个,但始终使用单个 FQDN 的环境中,使用 FQDN 可以简化更复杂的身份验证、授权和审核配置。要通过使用服务器的 FQDN 而不是其 IP 地址来配置身份验证,请遵循正常的配置过程,除非创建身份验证操作。创建操作时,您将 serverName 参数替换为 serverIP 参数。

在决定是否将 Citrix ADC 配置为使用 RADIUS 服务器的 IP 还是 FQDN 对用户进行身份验证之前,请考虑将身份验证、授权和审核配置为对 FQDN 而不是 IP 地址进行身份验证,将为身份验证过程添加额外的步骤。每次 ADC 对用户进行身份验证时,都必须解析 FQDN。如果许多用户尝试同时进行身份验证,则生成的 DNS 查找可能会减慢身份验证过程。

注意

这些说明假定您已经熟悉 RADIUS 协议,并已配置您选择的 RADIUS 身份验证服务器。

有关设置一般身份验证策略的更多信息,请参阅身份验证策略。有关策略规则中使用的 Citrix ADC 设备表达式的更多信息,请参阅策略和表达式

使用命令行界面为 RADIUS 服务器添加身份验证操作

如果向 RADIUS 服务器进行身份验证,则需要添加显式身份验证操作。若要执行此操作,请在命令提示符下键入以下命令:

add authentication radiusAction <name> [-serverip <IP> | -serverName] <FQDN>][-serverPort <port>] [-authTimeout <positive_integer>] {-radKey } [-radNASip ( ENABLED | DISABLED )][-radNASid <string>] [-radVendorID <positive_integer>][-radAttributeType <positive_integer>][-radGroupsPrefix <string>] [-radGroupSeparator <string>][-passEncoding <passEncoding>][-ipVendorID <positive_integer>] [-ipAttributeType <positive_integer>][-accounting ( ON | OFF )][-pwdVendorID <positive_integer> [-pwdAttributeType <positive_integer>]] [-defaultAuthenticationGroup <string>] [-callingstationid ( ENABLED | DISABLED )]

以下示例添加了一个名为 Authn-Act-1的 RADIUS 身份验证操作,其中包括服务器 IP 10.218.24.65、服务器端口 1812、身份验证超时 15 分钟、radius 密钥 WareTheLorax、NAS IP disabled 和 NAS ID NAS1

> add authentication radiusaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1
Done

以下示例添加了相同的 RADIUS 身份验证操作,但使用服务器 FQDN rad01.example.com 而不是 IP。

> add authentication radiusaction Authn-Act-1 -serverName rad01.example.com -serverport 1812 -authtimeout 15 -radkey WareTheLorax -radNASip DISABLED -radNASid NAS1
Done

使用命令行为外部 RADIUS 服务器配置身份验证操作

要配置现有 RADIUS 操作,请在命令提示符处键入以下命令:

set authentication radiusAction <name> [-serverip <IP> | -serverName] <FQDN>][-serverPort <port>] [-authTimeout <positive_integer>] {-radKey } [-radNASip ( ENABLED | DISABLED )][-radNASid <string>] [-radVendorID <positive_integer>][-radAttributeType <positive_integer>][-radGroupsPrefix <string>] [-radGroupSeparator <string>][-passEncoding <passEncoding>][-ipVendorID <positive_integer>] [-ipAttributeType <positive_integer>][-accounting ( ON | OFF )][-pwdVendorID <positive_integer> [-pwdAttributeType <positive_integer>]] [-defaultAuthenticationGroup <string>] [-callingstationid ( ENABLED | DISABLED )]

使用命令行界面删除外部 RADIUS 服务器的身份验证操作

若要删除现有 RADIUS 操作,请在命令提示符下键入以下命令:

rm authentication radiusAction <name>

示例

    > rm authentication radiusaction Authn-Act-1
    Done

使用配置实用程序配置 RADIUS 服务器

注意

在配置实用程序中,使用术语服务器而不是操作,但指的是相同的任务。

  1. 导航到安全 > AAA - 应用程序流量 > 策略 > 身份验证 > Radius
  2. 在详细信息窗格中的服务器选项卡上,执行以下操作之一:

    • 若要创建新的 RADIUS 服务器,请单击添加
    • 若要修改现有 RADIUS 服务器,请选择该服务器,然后单击编辑
  3. 创建身份验证 RADIUS 服务器配置身份验证 RADIUS 服务器对话框中,键入或选择参数的值。要填写出现在“发送呼叫站 ID”下方的参数,请展开“详细信息”。

    • 名称*— radiusActionName(无法更改之前配置的操作)
    • 身份验证类型*— authtype(设置为 RADIUS,无法更改)
    • 服务器名称/IP 地址* — 选择服务器名称或服务器 IP

      • 服务器名称*— serverName <FQDN>
      • IP 地址*—serverIp <IP> 如果为服务器分配了 IPv6 IP 地址,请选中 IPv6 复选框。
    • 端口*— serverPort
    • 超时(秒)*— authTimeout
    • 密钥*— radKey(RADIUS 共享密钥)
    • 确认密钥*-第二次键入 RADIUS 共享密钥。(没有等效的命令行。)
    • 发送呼叫站 ID-呼叫站 ID
    • 组供应商标识符 — radVendorID
    • 组属性类型 - radAttributeType
    • IP 地址供应商标识符 — ipVendorID
    • pwdVendorID—pwdVendorID
    • 密码编码 — passEncoding
    • 默认身份验证组- defaultAuthenticationGroup
    • NAS ID—radNASid
    • 启用 NAS IP 地址提取 — radNASip
    • 组前缀 - radGroupsPrefix
    • 组分隔符 - radGroupSeparator
    • IP 地址属性类型 — ipAttributeType
    • 密码属性类型 — pwdAttributeType
    • 会计- accounting
  4. 单击创建确定。您创建的策略将显示在“服务器”页面中。

支持通过 RADIUS 属性 66(隧道-客户端端点)

Citrix ADC 设备现在允许在 RADIUS 身份验证期间直通 RADIUS 属性 66(隧道-客户端端点)。通过应用此功能,客户端 IP 地址通过委托进行第二因素身份验证接收,从而做出基于风险的身份验证决策。

在“add authentication radiusAction”和“set radiusParams”命令中引入了一个新属性“tunnelEndpointClientIP”。

要使用此功能,请在 Citrix ADC 设备命令提示符处键入:

  • add authentication radiusAction <name> {-serverIP <ip_addr|ipv6_addr|*> | {-serverName <string>}} [-serverPort <port>] … [-tunnelEndpointClientIP (ENABLED|DISABLED)]
  • set radiusParams {-serverIP <ip_addr|ipv6_addr|*> |{-serverName <string>}} [-serverPort<port>] … [-tunnelEndpointClientIP(ENABLED|DISABLED)]

示例

  • add authentication radiusAction radius -severIP 1.217.22.20 -serverName FQDN -serverPort 1812 -tunnelEndpointClientIp ENABLED
  • set radiusParams -serverIp 1.217.22.20 -serverName FQDN1 -serverPort 1812 -tunnelEndpointClientIP ENABLED

支持验证端到端 RADIUS 身份验证

Citrix ADC 设备现在可以通过 GUI 验证端到端 RADIUS 身份验证。为了验证此功能,GUI 中引入了一个新的“测试”按钮。Citrix ADC 设备管理员可以利用此功能实现以下优势:

  • 整合完整的流程(数据包引擎 — AAA 守护进程 — 外部服务器),提供更好的分析
  • 缩短验证和故障排除与单个场景相关的问题的时间

您有两个选项可以通过使用 GUI 来配置和查看 RADIUS 端到端身份验证的测试结果。

从系统选项

  1. 导航到系统 > 身份验证 > 基本策略 > RADIUS,单击服务器选项卡。
  2. 从列表中选择可用的 RADIUS 操作
  3. 配置身份验证 RADIUS 服务器页上,在连接设置”部分下有两个选项。
  4. 若要检查 RADIUS 服务器连接,请单击测试 RADIUS 可达性选项卡。
  5. 要查看端到端 RADIUS 身份验证,请单击测试最终用户连接链接。

从身份验证选项

  1. 导航到身份验证”>“仪表板”,从列表中选择可用的 RADIUS 操作。
  2. 配置身份验证 RADIUS 服务器页上,在连接设置”部分下有两个选项。
  3. 若要检查 RADIUS 服务器连接,请单击测试 RADIUS 可达性选项卡。
  4. 要查看端到端 RADIUS 身份验证状态,请单击测试最终用户连接链接。