认证 > 配置 RADIUS 服务器认证
配置 RADIUS 服务器认证
RADIUS(远程认证拨入用户服务)用于对公司网络中的本地用户和远程用户进行认证。 RADIUS 是一个客户端/服务器系统,它可以将用户、远程访问服务器、VPN 网关及其他资源的认证信息保存在一个中心数据库中。
有关 RADIUS 认证的详细信息,请参阅 RADIUS 服务器认证如何进行。
认证密钥
发给 RADIUS 服务器以及 RADIUS 服务器发出的认证消息使用认证密钥,而不是密码。 认证密钥(或共享密码)在 RADIUS 客户端和服务器上必须相同。 没有这个密钥,客户端和服务器之间就不能通信。
RADIUS 认证方法
对于 Web 和 Mobile VPN with IPSec 或 Mobile VPN with SSL 认证,RADIUS 仅支持 PAP(密码认证协议)认证。
对于点对点隧道协议 (PPTP) 认证,RADIUS 仅支持 MSCHAPv2(Microsoft Challenge-Handshake 认证协议第 2 版)。
对于 WPA Enterprise 和 WPA2 Enterprise 认证方法,RADIUS 支持 EAP(可扩展认证协议)框架。
开始之前
配置 XTM 设备以便使用 RADIUS 服务器进行认证之前,您必须有以下信息:
- 主 RADIUS 服务器 — IP 地址和 RADIUS 端口
- 次 RADIUS 服务器(可选)— IP 地址和 RADIUS 端口
- 共享密码 — 区分大小写,XTM 设备和 RADIUS 服务器上的密码相同
- 认证方法 — 设置您的 RADIUS 服务器,以允许 XTM 设备使用的认证方法: PAP、MS CHAP v2、WPA Enterprise、WPA2 Enterprise 或 WPA/WPA2 Enterprise
使用 RADIUS 服务器对您的 XTM 设备进行认证
要使用 RADIUS 服务器对 XTM 设备进行认证,您必须:
- 按照 RADIUS 供应商提供的文档所述,将 XTM 设备的 IP 地址添加到 RADIUS 服务器上。
- 在 XTM 设备配置中启用并指定 RADIUS 服务器。
- 将 RADIUS 用户名或组名添加到您的策略中。
要在配置中启用并指定 RADIUS 服务器,从 Fireware XTM Web UI:
- 选择身份验证 > 服务器。
将显示认证服务器页面。
- 选择 RADIUS 选项卡。
- 选中启用 RADIUS 服务器复选框。
- 在 IP 地址文本框中,输入 RADIUS 服务器的 IP 地址。
- 在端口文本框中,确保显示 VASCO 用于认证的端口号。 默认端口号为 1812。 较早的 RADIUS 服务器可能使用端口 1645。
- 在密码 文本框中,键入 XTM 设备和 RADIUS 服务器之间的共享密码。
共享密码区分大小写,并且 XTM 设备和 RADIUS 服务器上的密码必须相同。
- 在确认密码文本框中,再次键入共享密码。
- 输入或选择超时值。
超时值是 XTM 设备尝试再次连接前,等待来自认证服务器的响应的时间。
- 在重试文本框中,输入或选择 XTM 设备在报告一次认证尝试连接失败之前,尝试连接到认证服务器的次数(按上面指定的超时)。
- 在组属性文本框中,输入或选择属性值。 默认的组属性是 FilterID,它是 RADIUS 属性 11。
组属性值用于设置传递用户组信息的属性。 您必须配置 RADIUS 服务器包含 Filter ID 字符串,该字符串中带有服务器发送到 XTM 设备的用户认证消息。 例如 engineerGroup 或 financeGroup。 此信息随后将用于访问控制。 XTM 设备将 FilterID 字符串与 XTM 设备策略中配置的组名称相匹配。
- 在非活动时间 文本框中,输入或选择非活动服务器再次被标记为活动之前的时间。 从下拉列表中选择分钟或小时来设定持续期。
认证服务器在一段时间内没有响应后,系统会将其标记为非活动。 在将该服务器重新标记为活动之前,后续认证尝试将不会尝试连接此服务器。
- 要添加备份 RADIUS 服务器,请选择次服务器设置选项卡,然后选中启用次 RADIUS 服务器复选框。
- 重复步骤 4-11 以配置备份服务器。 请确保主 RADIUS 服务器和备份 RADIUS 服务器上的共享密码相同。
有关详细信息,请参阅使用备份认证服务器。
- 单击保存。
请参阅
关于 第三方认证服务器
使用策略中的授权用户和组
WPA 和 WPA2 Enterprise 认证
使用 Active Directory 用户和组为 Mobile VPN 用户配置 RADIUS 服务器认证