认证 > 配置 RADIUS 服务器认证 > RADIUS 服务器认证如何进行

RADIUS 服务器认证如何进行

RADIUS 最初是设计用于远程用户向拨入访问服务器进行认证的协议。 RADIUS 现在用于多种认证情况。 RADIUS 是一种客户端与服务器之间的协议,其中 XTM 设备作为客户端,RADIUS 服务器作为服务器。 (RADIUS 客户端有时被称为网络访问服务器或 NAS。) 用户尝试进行认证时,XTM 设备会向 RADIUS 服务器发送消息。 如果 RADIUS 服务器配置为以 XTM 设备作为客户端,则 RADIUS 向 XTM 设备(网络访问服务器)回复接受拒绝消息。

当 XTM 设备使用 RADIUS 尝试进行认证时:

  1. 用户尝试认证,可以通过基于浏览器的 HTTPS 由端口 4100 连接到 XTM 设备,或者通过使用 Mobile VPN with PPTP 或 Mobile VPN with IPSec 建立的连接。 XTM 设备读取用户名和密码。
  2. XTM 设备创建名为“访问请求”的消息,并发送至 RADIUS 服务器。 XTM 设备在该消息中使用 RADIUS 共享密码。 该密码在“访问请求”消息中始终是加密的。
  3. RADIUS 服务器负责确保“访问请求”消息来自已知客户端(XTM 设备)。 如果 RADIUS 服务器没有配置成接受 XTM 设备作为客户端,则会丢弃该“访问请求”消息,也不回复消息。
  4. 如果 XTM 设备是 RADIUS 服务器已知的客户端,且共享密码正确无误,则服务器会查看“访问请求”消息中请求的认证方法。
  5. 如果“访问请求”消息使用的是允许的认证方法,则 RADIUS 服务器从消息中获得用户认证信息,并在用户数据库中寻找匹配。 如果用户名和密码与数据库中的某个条目匹配,RADIUS 服务器就能够从用户数据库中获得有关该用户的其他信息(比如远程访问批准、组成员资格、登录时长等等)。
  6. RADIUS 服务器会检查其配置中是否存在某个访问策略或配置文件与该用户的所有信息相匹配。 如果存在这样的策略,服务器将发送响应。
  7. 如果任意上述条件未满足,或如果 RADIUS 服务器没有匹配策略,服务器将发送“拒绝访问”消息,表明认证失败。 RADIUS 事务结束,用户被拒绝访问。
  8. 如果“访问请求”消息符合上述所有条件,则 RADIUS 发送“接受访问”消息到 XTM 设备。
  9. RADIUS 服务器发送的所有响应都使用共享密码。 如果共享密码不匹配,XTM 设备会拒绝 RADIUS 的响应。

要查看认证的诊断日志消息,设置诊断日志级别并更改“认证”类别的日志级别。

  1. XTM 设备读取消息中的所有 FilterID 属性值。 它将用户名与 FilterID 属性相连接,以便将用户归入某个 RADIUS 组。
  2. RADIUS 服务器能够在“接受访问”消息中写入大量的其他信息。 XTM 设备会忽略这些信息中的大部分内容,比如允许用户使用的协议(如 PPP 或 SLIP)、用户可以访问的端口、闲置超时及其他属性。
  3. XTM 设备只需要 FilterID 属性(RADIUS 属性号 11)。 FilterID 是您配置 RADIUS 服务器以包括在“接受访问”消息中的一个文本字符串。 对于 XTM 设备将用户分配到一个 RADIUS 组,该属性是必要的,但它能支持一些其他的 Radius 属性,例如 Session-Timeout(RADIUS 属性号 27)和 Idle-Timeout(RADIUS 属性号 28)。

有关 RADIUS 组的详细信息,请参阅后续部分。

关于 RADIUS 组

配置 RADIUS 认证时,可以设置组属性号。 Fireware XTM 从 Fireware XTM Web UI 中读取组属性号,以识别出哪个 RADIUS 属性传递 RADIUS 组信息。 Fireware XTM 只认可 RADIUS 属性号 11(即 FilterID)作为组属性。 配置 RADIUS 服务器时,不要更改组属性号的默认值 11。

XTM 设备收到来自 RADIUS 的“接受访问”消息时,会读取 FilterID 属性值,并用这个值将用户关联到 RADIUS 组。 (必须在 RADIUS 配置中手动配置 FilterID。) 因此,FilterID 属性值就是 XTM 设备归入用户的 RADIUS 组的名称。

Fireware XTM Web UI 中使用的 RADIUS 组不同于域控制器中定义的 Windows 组,或域用户数据库中存在的任何其他组。 RADIUS 组是 XTM 设备使用的唯一用户逻辑组。 请确保仔细选择 FilterID 文本字符串。 您可以让 FilterID 值与您组织中的本地组或域组名称匹配,但并非必须这样做。 我们建议您使用有助于记住如何定义用户组的描述性名称。

RADIUS 组的实际应用

如果组织中有很多用户要进行认证,将 RADIUS 配置成为多个用户发送相同的 FilterID 值,可以让 XTM 设备策略更容易管理。 XTM 设备将那些用户归入一个逻辑组,以便您轻松管理用户访问权。 当您在 Fireware XTM Web UI 中设立策略,只允许已通过认证的用户访问网络资源时,就可以使用 RADIUS 组名称,而不必再添加多个单独用户的列表。

例如,当 Mary 进行认证时,RADIUS 发送的 FilterID 字符串是 Sales,因此只要 Mary 通过了认证,XTM 设备便将她归入 Sales RADIUS 组。 如果用户 John 和 Alice 随后进行认证,并且 RADIUS 在 John 和 Alice 的“接受访问”消息中写入了相同的 FilterID 值 Sales,那么 Mary、John 和 Alice 都在 Sales 组中。 您可以在 Fireware XTM Web UI 中设立一项策略,允许 Sales 组访问资源。

您可以配置 RADIUS 返回另一个 FilterID,比如 IT Support 用于内部支持部门的成员。 然后可以设立另一项策略,允许 IT Support 用户访问资源。

例如,您可以允许 Sales 组使用已筛选 HTTP 策略访问 Internet。 然后您可以用 WebBlocker 筛选他们的 Web 访问。 Policy Manager 中的另一项策略可以允许 IT Support 用户使用未筛选 HTTP 策略访问 Internet,因此他们访问的 Web 不经过 WebBlocker 筛选。 使用策略的“”字段中的 RADIUS 组名(或用户名),来显示哪些组(或哪些用户)能够使用该策略。

超时和重试值

如果没有从主 RADIUS 服务器收到响应,则认证失败。 三次认证尝试失败后,Fireware XTM 会使用次 RADIUS 服务器。 这个进程称为故障转移

认证尝试次数与重试次数不同。 您不能在出现故障转移之前更改认证尝试次数。

XTM 设备向列表中的第一个 RADIUS 服务器发送“访问请求”消息。 如果没有响应,则 XTM 设备会等待“超时”框中设置的秒数,然后再次发送“访问请求”。 这个请求会持续“重试”框中指定的秒数(或直至收到有效响应)。 如果没有收到 RADIUS 服务器的有效响应,或如果 RADIUS 共享密码不匹配,则 Fireware XTM 将此请求计为一次失败的认证尝试。

三次认证尝试失败后,Fireware XTM 会在下一次认证尝试时使用次 RADIUS 服务器。 如果此服务器也在三次认证尝试后没有响应,则 Fireware XTM 会等待十分钟,以便管理员可以修正问题。 十分钟之后,Fireware XTM 会尝试再次使用主 RADIUS 服务器。

另请参阅

配置 RADIUS 服务器认证

关于 第三方认证服务器

提供反馈  •   获得支持  •   全部产品文件  •   知识库