RADIUS 提供商

RADIUS拨入用户服务（RADIUS）。有关限制，请参阅下文。

RADIUS 限制

所有密码更改都应在 RADIUS 服务器上完成。启用外部提供商后，您将无法通过 Apstra 更改用户的密码。
RADIUS 身份验证不控制 Linux 用户通过 SSH 登录。
如果 RADIUS 服务器上的用户组发生更改，则需要相应更改 Apstra 中的角色映射。
不允许嵌套组。您必须将每个组显式分配给一个角色。
用户登录时，只需用户名和密码即可对远程 RADIUS 服务器进行身份验证。不缓存登录凭据。因此，当用户登录时，Apstra 和远程 RADIUS 服务器之间需要建立连接。

创建 RADIUS 提供商

在左侧导航菜单中，导航到“外部系统>提供程序”，然后单击“创建提供程序”。
输入名称（不超过 64 个字符），选择“RADIUS”，如果希望 RADIUS 成为活动提供程序，请打开“活动？”。
对于连接设置，输入/选择以下内容：
- 端口 - 服务器使用的 TCP 端口，默认值为 RFC 2865 中指定的 1812 。
- 主机名 FQDN IP（s） - RADIUS 服务器的完全限定域名（FQDN）或 IP 地址。对于高可用性（HA）环境，请使用相同的设置指定多个 RADIUS 服务器。如果无法访问第一台服务器，则按顺序尝试与后续服务器的连接。
对于特定于提供程序的参数，根据需要输入/选择以下内容：
- 共享密钥 （64 个字符或更少） - 在服务器上配置的共享密钥
  
  谨慎：
  
  编辑配置的 RADIUS 提供程序时，不显示共享密钥。如果不更改它，则将保留之前配置的共享密钥。如果测试提供程序，但未重新输入共享密钥，则将使用 null 共享密钥进行测试，并且可能无法正常工作。
  
  使用 Apstra 软件成功测试的预共享密钥配置示例来自 Ubuntu FreeRADIUS（开源 RADIUS 服务器）。RADIUS 服务器配置中给出的共享密钥必须在 Apstra 中提供。
- 高级配置
  - 组名称属性名称 - 若要指定用户所属的角色，RADIUS 服务器必须指定用户的组。必须使用 Framed-Filter-ID 作为属性指定用户组信息。它用于将用户分配到不同的 RADIUS 组。
    
    例如，下面的 FreeRADIUS 配置将 Framed-Filter-ID 属性指定为 freerad。在本例中，稍后映射时，您将为 Provider Group 输入 freerad 。
  为了将用户映射到 Apstra 环境中的现有组，RADIUS 服务器必须返回 Apstra 组名称作为身份验证响应的一部分。
  
  谨慎：
  
  如果组未映射，则用户无法登录。
- 超时（秒） - 将超时时间增加到默认 30 秒以上可能会影响所有用户的 API 响应能力。如果需要更长的超时才能支持 MFA，则可以将超时增加到 60 秒。如果需要超过 60 秒的超时，请联系瞻博网络技术支持。

配置并激活提供程序后，必须将该提供程序映射到一个或多个用户角色，以便向具有这些角色的用户授予权限。