Настройка RADIUS

предупреждение

Все URL указываются в нижнем регистре.

Формат JSON не допускает наличия комментариев в файле, поэтому требуется удалить строки, начинающиеся с символов "//".

предупреждение

После внесения изменений в файл конфигурации требуется перезагрузить пул приложений IdP в IIS Manager.

Перейдите в каталог C:\inetpub\wwwroot\idp и отредактируйте файл appsettings.json.

Секция IdentitySettings

• DirectoryMechanism — механизм работы аутентификации. 
• Authentication — параметр указывает поставщиков аутентификации в IDP.

Секция IdentitySettings в конфигурационном файле appsettings.json

  "IdentitySettings": {
  ...
  "DirectoryMechanism": "Radius",
  "Authentication": "Local",
  ...
  }

Секция Radius

• Timeout — время ожидания ответа от сервера RADIUS.

RemoteEndpoints:

• Address — адрес сервера RADIUS для подключения.
• Port — адрес сервера RADIUS для подключения (по умолчанию 1812).
• Secret — секрет для дополнительной аутентификации компонента.
• AuthenticationScheme — схема аутентификации в RADIUS. Возможные значения: PAP, CHAP, MSCHAPV2. Схема PAP является небезопасной, потому что пароль передается в открытом виде.
• AuthenticationUserName — формат имени для аутентификации. Возможные значения:
  • NameWithoutDomain — имя без домена для аутентификации в FreeRadius.
  • SamCompatibleName — имя в формате INDEED\\user.
  • PrincipalName — имя в формате user@indeed.domain.
• CheckMessageAuthenticator — параметр включает или выключает проверку атрибута Message-Authenticator в IDP. Отключать не рекомендуется т.к. это понижает безопасность.

Секция Radius в конфигурационном файле appsettings.json (один сервер RADIUS)

"Radius": {
    "Timeout": 60,
    "RemoteEndpoints": [
      {
        "Address": "PAM_RADIUS_SERVER_ADDRESS",
        "Port": 1812,
        "Secret": "PAM_RADIUS_SERVER_SECRET",
        "AuthenticationScheme": "MSCHAPV2",
        "AuthenticationUserName": "PrincipalName",
        "CheckMessageAuthenticator": true
      }
    ]
  },

Можно указать несколько серверов RADIUS, чтобы обеспечить отказоустойчивость системы. В этом случае PAM посылает запрос серверам RADIUS последовательно, в порядке указания серверов в конфигурационном файле. То есть если не удалось подключиться к первому серверу RADIUS, то PAM попытается подключиться к следующему.

Секция Radius в конфигурационном файле appsettings.json (два сервера RADIUS)

"Radius": {
  "Timeout": 10,
  "RemoteEndpoints": [
    {
      "Address": "10.11.4.28",
      "Port": 1812,
      "Secret": "123",
      "AuthenticationScheme": "MSCHAPV2",
      "AuthenticationUserName": "PrincipalName",
      "CheckMessageAuthenticator": true
    },
    {
      "Address": "10.11.4.128",
      "Port": 1812,
      "Secret": "123",
      "AuthenticationScheme": "MSCHAPV2",
      "AuthenticationUserName": "PrincipalName",
      "CheckMessageAuthenticator": true
    }
  ]
},