配置 RADIUS 组提取

您可以使用称为组提取的方法来配置 RADIUS 授权。配置组提取允许您管理 RADIUS 服务器上的用户,而不是将其添加到 Citrix 网关。

您可以通过使用身份验证策略并配置组供应商标识符 (ID)、组属性类型、组前缀和组分隔符来配置 RADIUS 授权。配置策略时,您将添加表达式,然后将策略全局绑定或绑定到虚拟服务器。

在 Windows 服务器 2003 年上配置半径

如果在 Windows 服务器 2003 年上使用 Microsoft Internet 身份验证服务 (IAS) 进行 RADIUS 授权,则 Citrix 网关的配置期间,您需要提供以下信息:

  • 供应商 ID 是您在 IAS 中输入的供应商特定的代码。
  • 类型是供应商分配的属性编号。
  • 属性名称是您在 IAS 中定义的属性名称的类型。默认名称为 CtxSusser组=

如果 RADIUS 服务器上未安装 IAS,您可以从控制面板中的添加或删除程序安装它。有关详细信息,请参阅 Windows 联机帮助。

若要配置 IAS,请使用 Microsoft 管理控制台 (MMC) 并安装 IAS 的管理单元。按照向导操作,确保您选择了以下设置:

  • 选择本地计算机。
  • 选择远程访问策略并创建自定义策略。
  • 选择策略的窗口组。
  • 选择以下协议之一:
    • 微软质疑握手身份验证协议版本 2 (MS-CHAP v2)
    • 微软质询握手身份验证协议 (MS-CHAP)
    • 质疑握手身份验证协议 (CHAP)
    • 未加密身份验证(PAP、SPAP)
  • 选择供应商特定属性。

    供应商特定属性需要将您在服务器组中定义的用户与 Citrix Gateway 上的用户进行匹配。为满足此要求,请将供应商特定的属性发送到 Citrix 网关。请确保选择半径 = 标准。

  • RADIUS 默认值为 0。将此编号用于供应商代码。

  • 供应商分配的属性编号为 0。

    这是为用户组属性分配的编号。属性采用字符串格式。

  • 选择属性格式的字符串。

    属性值需要属性名称和组。

    对于访问网关,属性值为 CTXSUSser组=组名。如果定义了两个组(例如销售和财务),属性值为 CTXSUserGroup = 销售;财务。用分号分隔每个组。

  • 删除 “编辑拨入配置文件” 对话框中的所有其他条目,保留 “特定于供应商” 的条目。

在 IAS 中配置远程访问策略后,可以在 Citrix 网关上配置 RADIUS 身份验证和授权。

配置 RADIUS 身份验证时,请使用您在 IAS 服务器上配置的设置。

为 Windows 服务器 2008 年上的身份验证配置 RADIUS

在 Windows 服务器 2008 年上,您可以使用网络策略服务器 (NPS) 来配置 RADIUS 身份验证和授权,该服务器替换 Internet 身份验证服务 (IAS)。您可以使用服务器管理器并添加 NPS 作为安装 NPS 的角色。

安装 NPS 时,请选择网络策略服务。安装后,可以通过在 “开始” 菜单上从 “管理服务” 启动 NPS 来配置网络的 RADIUS 设置。打开 NPS 时,将 Citrix 网关添加为 RADIUS 客户端,然后配置服务器组。

配置 RADIUS 客户端时,请确保选择以下设置:

  • 对于供应商名称,选择 RADIUS 标准。
  • 记下共享机密,因为您需要在 Citrix 网关上配置相同的共享机密。

对于 RADIUS 组,您需要 RADIUS 服务器的 IP 地址或主机名。请勿更改默认设置。

配置 RADIUS 客户端和组后,您可以在以下两个策略中配置设置:

  • 连接请求策略,您可以在其中配置 Citrix Gateway 连接的设置,包括网络服务器的类型、网络策略的条件以及策略的设置。
  • 配置可扩展身份验证协议 (EAP) 身份验证和供应商特定属性的网络策略。

配置连接请求策略时,请为网络服务器的类型选择 “未指定”。然后,您可以通过选择 NAS 端口类型作为条件,虚拟 (VPN) 作为值来配置您的条件。

配置网络策略时,需要配置以下设置:

  • 选择远程访问服务器(VPN 拨号)作为网络访问服务器的类型。

  • 为 EAP 选择加密身份验证 (CHAP) 和未加密身份验证 (PAP 和 SPAP)。

  • 为供应商特定属性选择 RADIUS 标准。

    默认属性编号为 26。此属性用于 RADIUS 授权。

    Citrix Gateway 需要供应商特定的属性来匹配服务器上组中定义的用户与 Citrix Gateway 上的用户。这可以通过将供应商特定的属性发送到 Citrix 网关来完成。

  • 选择属性格式的字符串。

    属性值需要属性名称和组。

    对于 Citrix 网关,属性值为 CtxSusser组= 组名。如果定义了两个组(例如销售和财务),属性值为 CTXSUserGroup = 销售;财务。用分号分隔每个组。

  • 分隔符是您在 NPS 上用来分隔组(例如分号、冒号、空格或句点)的分隔符。

在 IAS 中配置远程访问策略后,可以在 Citrix 网关上配置 RADIUS 身份验证和授权。