Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

RADIUS 提供商

远程身份验证拨号用户服务 (RADIUS)。请参阅以下内容了解限制。

RADIUS 限制

  • 不支持更改远程 RADIUS 服务器上的 RADIUS 用户密码。
  • RADIUS 身份验证无法通过 SSH 控制 Linux 用户登录。
  • 不支持组角色映射更改。
  • 不允许嵌套组。您必须明确地将每个组分配给一个角色。
  • 当用户登录时,只需用户名和密码即可通过远程 RADIUS 服务器进行身份验证。未缓存登录凭据。因此,当用户登录时,需要 Apstra 与远程 RADIUS 服务器之间的连接。

创建 RADIUS 提供商

  1. 从左侧导航菜单导航到外部系统>提供商,然后单击 创建提供商
  2. 输入名称(64 个字符或更少),选择 RADIUS,如果您希望 RADIUS 成为活动提供商,请在 Active 上切换
  3. 对于连接设置,输入/选择以下内容:
    • 端口 - 服务器使用的 TCP 端口默认为 RFC 2865 中指定的 1812
    • Hostname FQDN IP - RADIUS 服务器的完全限定域名 (FQDN) 或 IP 地址。对于高可用性 (HA) 环境,请使用相同的设置指定多个 RADIUS 服务器。如果无法到达第一台服务器,则会尝试连接至成功的服务器。
  4. 对于提供商特定参数,请根据需要输入/选择以下内容:

    • 共享密钥 (64 个字符或更少) - 在服务器上配置的共享密钥

      谨慎:

      在编辑已配置的 RADIUS 提供商时,不会显示共享密钥。如果不更改,以前配置的共享密钥将保留。如果测试提供商且尚未重新输入共享密钥,则会使用空共享密钥进行测试,并且可能不起作用。

      使用 Apstra 软件成功测试的预共享密钥配置的示例来自 Ubuntu FreeRADIUS(开源 RADIUS 服务器)。在 Apstra 中必须提供 RADIUS 服务器配置中提供的共享密钥。

    • 高级配置

      • 组名称属性名称 - 要指定用户所属的角色,RADIUS 服务器必须指定用户的组。用户组信息必须以 帧过滤器 ID 作为属性指定。它用于将用户分配给不同的 RADIUS 组。

        例如,下面的 FreeRADIUS 配置指定了 Freerad 的帧过滤器 ID 属性。在这种情况下,在映射之后,您将进入 Freerad for Provider Group。

      如果用户可以映射到 Apstra 环境中的现有组,RADIUS 服务器必须返回 Apstra 组名称作为身份验证响应的一部分。

      谨慎:

      如果组未映射,则用户无法登录。

    • 超时 (秒) - 默认到 30 秒

配置和激活提供商后,您必须将该提供商 映射 到一个或多个用户角色,以便向具有这些角色的用户授予权限。