RADIUS 提供商

远程身份验证拨号用户服务（RADIUS）。有关限制，请参阅下文。

RADIUS 限制

不支持在远程 RADIUS 服务器上更改 RADIUS 用户密码。
RADIUS 身份验证不会控制 Linux 用户通过 SSH 登录。
不支持组角色映射更改。
不允许嵌套组。您必须将每个组显式分配给一个角色。
用户登录时，仅需要用户名和密码即可对远程 RADIUS 服务器进行身份验证。不缓存登录凭据。因此，当用户登录时，需要 Apstra 与远程 RADIUS 服务器之间的连接。

创建 RADIUS 提供商

在左侧导航菜单中，导航至“外部系统>提供商”，然后单击“创建提供商”。
输入名称（64 个字符或更少），选择 RADIUS，如果希望 RADIUS 成为活动提供商，请切换为 Active？。
对于“连接设置”，请输入/选择以下内容：
- 端口 - 服务器使用的 TCP 端口，默认为 RFC 2865 中指定的 1812 。
- 主机名 FQDN IP - RADIUS 服务器的完全限定域名（FQDN）或 IP 地址。对于高可用性（HA）环境，请使用相同的设置指定多个 RADIUS 服务器。如果无法访问第一个服务器，则按顺序尝试与后续服务器的连接。
对于提供商特定的参数，请输入/选择以下内容，视情况：
- 共享密钥 （64 个字符或更少）- 在服务器上配置的共享密钥
  
  谨慎：
  
  编辑配置的 RADIUS 提供商时，不会显示共享密钥。如果未更改，则之前配置的共享密钥将保留。如果您测试提供商，但尚未重新输入共享密钥，则使用空共享密钥进行测试，并且可能无法正常工作。
  
  使用 Apstra 软件成功测试的预共享密钥配置示例来自 Ubuntu FreeRADIUS（开源 RADIUS 服务器）。RADIUS 服务器配置中提供的共享密钥必须在 Apstra 中提供。
- 高级配置
  - 组名称属性名称 - 要指定用户所属的角色，RADIUS 服务器必须指定用户组。必须以帧过滤器 ID 作为属性指定用户组信息。它用于将用户分配给不同的 RADIUS 组。
    
    例如，下面的 FreeRADIUS 配置将 帧过滤-ID 属性指定为 freerad。在这种情况下，稍后在映射时，您将为提供商组 输入 freerad 。
  以便用户能够映射到 Apstra 环境中的现有组，RADIUS 服务器必须将 Apstra 组名称作为身份验证响应的一部分返回。
  
  谨慎：
  
  如果组未进行组，则用户将无法登录。
- 超时（秒）- 默认为 30 秒

配置和激活提供商后，您必须该提供商映射到一个或多个用户角色，以便向具有这些角色的用户授予权限。