Перейти к основному содержимому
Версия: Privileged Access Manager 2.10

Настройка RADIUS

предупреждение

Все URL указываются в нижнем регистре.

Формат JSON не допускает наличия комментариев в файле, поэтому необходимо удалить строки, начинающиеся с символов "//".

предупреждение

После внесения изменений в файл конфигурации необходимо перезагрузить пул приложений Idp в IIS Manager.

Перейдите в каталог C:\inetpub\wwwroot\pam\idp и отредактируйте файл appsettings.json.

Секция IdentitySettings

  • DirectoryMechanism — механизм работы аутентификации. 
  • Authentication — параметр указывает поставщиков аутентификации в Idp.
Секция IdentitySettings в конфигурационном файле appsettings.json
  "IdentitySettings": {
...
"DirectoryMechanism": "Radius",
"Authentication": "Local",
...
}

Секция Radius

  • AuthenticationScheme — схема аутентификации в RADIUS. Возможные значения: 'PAP', 'CHAP', 'MSCHAPV2'. Схема PAP является небезопасной, потому что пароль передается в открытом виде.

  • AuthenticationUserName — формат имени для аутентификации.

    Возможные значения:

    • NameWithoutDomain — имя без домена (для аутентификации в FreeRadius).
    • SamCompatibleName — имя в формате INDEED\\user.
    • PrincipalName — имя в формате user@indeed.domain.
  • Secret — секрет для дополнительной аутентификации компонента.

  • Timeout — время ожидания ответа от сервера RADIUS.

  • RemoteEndpoint:

    • Address — адрес сервера RADIUS для подключения.
    • Port — адрес сервера RADIUS для подключения (по умолчанию 1812).
Секция Radius в конфигурационном файле appsettings.json (один сервер RADIUS)
"Radius": {
"AuthenticationScheme": "MSCHAPV2",
"AuthenticationUserName": "PrincipalName",
"Secret":"ENCRYPTED_CfDJ8MPJ7V58kgpLvtoHgdiuk5VKMK_hf3r437uZdHjdZAfve5wtVvgDZPjjDm7bgjCXKM5XM",
"Timeout": 10,
"RemoteEndpoint": {
"Address": "PAM_RADIUS_SERVER_1",
"Port": 1812
}

Можно указать несколько серверов RADIUS, чтобы обеспечить отказоустойчивость системы. В этом случае PAM посылает запрос серверам RADIUS последовательно, в порядке указания серверов в конфигурационном файле. То есть если не удалось подключиться к первому серверу RADIUS, то PAM попытается подключиться к следующему.

Секция Radius в конфигурационном файле appsettings.json (два сервера RADIUS)
"Radius": {
"Timeout": 10,
"RemoteEndpoints": [
{
"Address": "10.11.4.28",
"Port": 1812,
"Secret": "123",
"AuthenticationScheme": "MSCHAPV2",
"AuthenticationUserName": "PrincipalName"
},
{
"Address": "10.11.4.128",
"Port": 1812,
"Secret": "123",
"AuthenticationScheme": "MSCHAPV2",
"AuthenticationUserName": "PrincipalName"
}
]
},