Citrix Gateway

配置 RADIUS 组提取

您可以使用称为组提取的方法配置 RADIUS 授权。配置组提取允许您管理 RADIUS 服务器上的用户,而不是将其添加到 Citrix Gateway。

您可以使用身份验证策略并配置组供应商标识符 (ID)、组属性类型、组前缀和组分隔符来配置 RADIUS 授权。配置策略时,需要添加表达式,然后将策略全局绑定或绑定到虚拟服务器。

在 Windows Server 2003 上配置 RADIUS

如果在 Windows Server 2003 上使用微软互联网身份验证服务 (IAS) 进行 RADIUS 授权,则在配置 Citrix Gateway 期间,您需要提供以下信息:

  • 供应商 ID 是您在 IAS 中输入的特定于供应商的代码。
  • Type 是供应商分配的属性编号。
  • 属性名称是您在 IAS 中定义的属性名称的类型。默认名称是 ctxSuserGroups=

如果 RADIUS 服务器上未安装 IAS,则可以通过控制面板中的添加或删除程序进行安装。有关详细信息,请参阅 Windows 联机帮助。

要配置 IAS,请使用微软管理控制台 (MMC) 并安装 IAS 的管理单元。按照向导操作,确保选择以下设置:

  • 选择本地计算机。
  • 选择远程访问策略并创建自定义策略。
  • 为策略选择 Windows 组。
  • 选择以下协议之一:
    • 微软挑战-握手身份验证协议版本 2(MS-CHAP v2)
    • 微软挑战握手身份验证协议 (MS-CHAP)
    • 挑战握手身份验证协议 (CHAP)
    • 未加密的身份验证(PAP、SPAP)
  • 选择供应商特定的属性。

    供应商特定属性需要将您在服务器上的组中定义的用户与 Citrix Gateway 上的用户进行匹配。为满足此要求,请将供应商特定的属性发送到 Citrix Gateway。确保选择 RADIUS = 标准。

  • RADIUS 的默认值为 0。使用此编号作为供应商代码。

  • 供应商分配的属性编号为 0。

    这是为 “用户组” 属性分配的编号。该属性为字符串格式。

  • 为属性格式选择字符串。

    属性值需要属性名称和组。

    对于接入网关,属性值为 ctxsuserGroups=groupName。如果定义了两个组,例如销售和财务,则属性值为 ctxsuserGroups=Sales; 财务。用分号分隔每个组。

  • 删除 “编辑拨入配置文件” 对话框中的所有其他条目,保留显示供应商特定的条目。

在 IAS 中配置远程访问策略后,可以在 Citrix Gateway 上配置 RADIUS 身份验证和授权。

配置 RADIUS 身份验证时,请使用您在 IAS 服务器上配置的设置。

在 Windows Server 2008 上配置 RADIUS 进行身份

在 Windows Server 2008 上,您可以使用网络策略服务器 (NPS) 来配置 RADIUS 身份验证和授权,该服务器取代了互联网身份验证服务 (IAS)。要安装 NPS,可以使用“服务器管理器”并将 NPS 添加为角色。

安装 NPS 时,选择网络策略服务。安装完成后,您可以通过从 “开始” 菜单上的 “管理服务” 启动 NPS 来为网络配置 RADIUS 设置。打开 NPS 时,可以将 Citrix Gateway 添加为 RADIUS 客户端,然后配置服务器组。

配置 RADIUS 客户端时,请确保选择以下设置:

  • 对于供应商名称,请选择 RADIUS 标准。
  • 记下共享密钥,因为您需要在 Citrix Gateway 上配置相同的共享密钥。

对于 RADIUS 组,您需要 RADIUS 服务器的 IP 地址或主机名。不要更改默认设置。

配置 RADIUS 客户端和组后,可以在以下两个策略中配置设置:

  • 连接请求策略,您可以在其中配置 Citrix Gateway 连接的设置,包括网络服务器的类型、网络策略的条件以及策略的设置。
  • 用于配置可扩展身份验证协议 (EAP) 身份验证和供应商特定属性的网络策略。

配置连接请求策略时,为网络服务器的类型选择未指定。然后,您可以通过选择 NAS 端口类型作为条件,选择虚拟 (VPN) 作为值来配置条件。

配置网络策略时,需要配置以下设置:

  • 选择远程访问服务器(VPN 拨号)作为网络访问服务器的类型。

  • 为 EAP 选择加密身份验证 (CHAP) 和未加密身份验证(PAP 和 SPAP)。

  • 为供应商特定属性选择 RADIUS 标准。

    默认属性编号为 26。此属性用于 RADIUS 授权。

    Citrix Gateway 需要供应商特定的属性才能将服务器上组中定义的用户与 Citrix Gateway 上的用户进行匹配。这是通过将供应商特定的属性发送到 Citrix Gateway 来完成的。

  • 选择字符串作为属性格式。

    属性值需要属性名称和组。

    对于 Citrix Gateway,属性值为 ctxSuserGroups= 组名。如果定义了两个组,例如销售和财务,则属性值为 ctxsuserGroups=Sales; 财务。用分号分隔每个组。

  • 分隔符是您在 NPS 上用来分隔组的分隔符,例如分号、冒号、空格或句点。

在 IAS 中配置完远程访问策略后,可以在 Citrix Gateway 上配置 RADIUS 身份验证和授权。

配置 RADIUS 组提取