配置 RADIUS 身份验证

如需 SonicOS 中 RADIUS 身份验证的说明,请参见使用 RADIUS 进行身份验证 。如果您在用户> 设置页面的登录验证方法下拉菜单中选择了 RADIUS RADIUS + 本地用户,就可以使用配置 RADIUS 按钮。

如果您在单点登录方法选项中选择了仅浏览器 NTLM 验证,还可以使用 RADIUS 的单独的配置按钮。配置过程相同。

主题:

配置 RADIUS 设置

1
转至用户 > 设置页面。
2
单击配置 RADIUS 设置 SonicOS 上的 RADIUS 服务器设置。随即显示 RADIUS 配置窗口。

3
全局 RADIUS 设置下,输入 RADIUS 服务器超时(秒)的值。允许的范围为 1-60 秒,默认值为 5
4
重试次数字段中,输入 SonicOS 将尝试联系 RADIUS 服务器的次数。如果在指定的重试次数内,RADIUS 服务器未响应,则连接被放弃。该字段的允许范围为 0 至 10,默认设置为 3 次 RADIUS 服务器重试。
5
RADIUS 服务器部分,指定主要 RADIUS 服务器。在主服务器部分,在名称或 IP 地址字段中输入 RADIUS 服务器的主机名或 IP 地址。
6
输入 RADIUS 服务器的管理密码,或在共享密钥字段输入共享密钥。由字母数字组成的共享密钥的长度范围为 1 至 31。共享密钥区分大小写。
7
输入 RADIUS 服务器用于与 SonicOS 通信的端口编号。默认值为 1812
8
(可选)选择通过 VPN 隧道发送
9
辅助服务器部分,在名称或 IP 地址字段中输入辅助 RADIUS 服务器的主机名或 IP 地址。
10
11
单击确定,如果已经完成配置 RADIUS 服务器。
或者,单击应用,继续配置 RADIUS 用户(请参见RADIUS 用户选项卡 )和/或测试设置(请参见RADIUS 客户端测试 )。

RADIUS 用户选项卡

RADIUS 用户选项卡,您可以指定用于结合 RADIUS 身份验证使用的本地或 LDAP 信息的类型。您还可以定义 RADIUS 用户的默认用户群组。

配置 RADIUS 用户设置的步骤如下:
1
单击 RADIUS 用户选项卡。

2
3
选择为 RADIUS 用户设置用户群组关系的方法选项:
注:如果选择使用 RADIUS 服务器上的 SonicWALL 供应商特定属性在 RADIUS 服务器上使用 RADIUS 过滤 ID 属性选项,必须正确配置 RADIUS 服务器,以便在验证用户时将这些属性传回 Dell SonicWALL 设备。RADIUS 服务器应传回零 (0) 或所选属性的更多实例,每个实例都给出用户所属用户群组的名称。

如需供应商特定属性设置的详细信息,请参见技术说明,SonicOS Enhanced:使用“用户级别身份验证”以及 SonicOS Enhanced RADIUS Dictionary 文件 SonicWALL.dct。二者均位于
https://support.software.dell.com/

使用 RADIUS 服务器上的 SonicWALL 供应商特定属性 - 应用在 RADIUS 服务器上配置的供应商特定属性。属性必须提供用户所属的用户群组。首选的供应商特定 RADIUS 属性为 SonicWall-User-GroupSonicWall-User-Privilege 也适用于某些用户群组,但是受支持的主要原因是向后兼容性,而且不受为 RADIUS 用户设置用户群组关系的方法设置支配;也就是说,即使选择使用 RADIUS 服务器上的 SonicWALL 供应商特定属性以外的选项,此属性依然有效。
使用 RADIUS 服务器上的 RADIUS 过滤 ID 属性 - 应用在 RADIUS 服务器上配置的过滤 ID 属性。属性必须提供用户所属的用户群组。
使用 LDAP 以获得用户群组信息(默认)– 获得来自 LDAP 服务器的用户群组。 如果您未配置或需要进行更改,可以单击配置按钮设置 LDAP。如需配置 LDAP 的信息,请参见配置 Dell SonicWALL 设备以支持 LDAP
仅本地配置 – 如果您不计划检索来自 RADIUS 或 LDAP 的用户群组信息,则选择此选项。
可以通过复制 RADIUS 用户名在本地设置成员身份 – 对于管理 RADIUS 用户群组的快捷方式。在本地安全设备上创建有相同名称的用户和管理其群组成员身份时,RADIUS 数据库中的成员身份将自动更改以反映您的本地更改。
4
如果您之前在 SonicOS 上配置了用户群组,则从所有 RADIUS 用户所属的默认用户群组下拉菜单中选择群组。要创建新的用户群组,请参见创建 RADIUS 用户的新用户群组
5
单击确定,如果已经完成配置 RADIUS 服务器。
或者,单击应用,继续配置 RADIUS 用户和/或测试设置。
创建 RADIUS 用户的新用户群组

RADIUS 用户设置对话框中,您可以通过从所有 RADIUS 用户所属的默认用户群组下拉菜单中选择创建新用户群组...来创建新群组:显示“添加群组”对话框。如需创建新用户群组的过程,请参见创建或编辑本地群组

使用 LDAP 设置用户群组的 RADIUS

如果使用 RADIUS 进行用户验证,RADIUS 用户选项卡的 RADIUS 配置对话框中提供一个选项用于选择 LDAP 作为设置 RADIUS 用户群组成员身份的方法:

如果选中使用 LDAP 以获得用户群组信息,在通过 RADIUS 验证用户后,其用户群组成员身份信息将可以通过 LDAP 在 LDAP/AD 服务器的目录中查找。

注:如果选择这种方法,且启用了一次性密码,RADIUS 用户在尝试通过 SSL VPN 登录时将收到一次性密码失败的消息。

单击配置对话框启动 LDAP 配置窗口。如需配置 LDAP 设置的更多信息,请参见准备 LDAP 服务器以进行集成

RADIUS 客户端测试

RADIUS 配置对话框中,您可以通过输入有效的用户名和密码和选择一种测试用验证方法来测试 RADIUS 客户端用户名、密码和其他设置。执行测试将应用您所作的全部更改。

测试 RADIUS 设置的步骤如下:
1
单击测试选项卡。

2
用户字段,输入有效的 RADIUS 登录名称。
3
密码字段,输入密码。
4
为进行测试,选择以下一种方法:
密码验证:选中该选项使用密码进行身份验证。
CHAP:选中该选项使用“质询握手身份验证协议”。在初始验证后,CHAP 通过使用三次握手定期验证客户端身份。
MSCHAP:选中该选项使用“Microsoft CHAP 实施”。MSCHAP 适用于 Windows Vista 之前的所有 Windows 版本。
MSCHAPv2:选中该选项使用“Microsoft 第 2 版 CHAP 实施”。MSCHAPv2 适用于 Windows 2000 及其后的 Windows 版本。
5
单击测试按钮。如果验证成功,状态消息更改为成功。如果验证失败,状态消息更改为失败
6

SonicOS 配置完成后,要求 RADIUS 身份验证的 VPN 安全关联提示接收 VPN 客户端在对话框中输入用户名和密码。