Skip to main content
Version: Privileged Access Manager 2.10

Настройка RADIUS

caution

Все URL указываются в нижнем регистре.

Формат JSON не допускает наличия комментариев в файле, поэтому необходимо удалить строки, начинающиеся с символов "//".

caution

После внесения изменений в файл конфигурации необходимо перезагрузить пул приложений IdP в IIS Manager.

Перейдите в каталог C:\inetpub\wwwroot\pam\idp и отредактируйте файл appsettings.json.

Секция IdentitySettings

  • DirectoryMechanism — механизм работы аутентификации. 
  • Authentication — параметр указывает поставщиков аутентификации в IDP.
Секция IdentitySettings в конфигурационном файле appsettings.json
  "IdentitySettings": {
  ...
  "DirectoryMechanism": "Radius",
  "Authentication": "Local",
  ...
  }

Секция Radius

  • AuthenticationScheme — схема аутентификации в RADIUS. Возможные значения: 'PAP', 'CHAP', 'MSCHAPV2'. Схема PAP является небезопасной, потому что пароль передается в открытом виде.

  • AuthenticationUserName — формат имени для аутентификации.

    Возможные значения:

    • NameWithoutDomain — имя без домена (для аутентификации в FreeRadius).
    • SamCompatibleName — имя в формате INDEED\\user.
    • PrincipalName — имя в формате user@indeed.domain.

  • Secret — секрет для дополнительной аутентификации компонента.

  • Timeout — время ожидания ответа от сервера RADIUS.

  • RemoteEndpoint:

    • Address — адрес сервера RADIUS для подключения.
    • Port — адрес сервера RADIUS для подключения (по умолчанию 1812).
Секция Radius в конфигурационном файле appsettings.json (один сервер RADIUS)
"Radius": {
  "AuthenticationScheme": "MSCHAPV2",
  "AuthenticationUserName": "PrincipalName",
  "Secret":"ENCRYPTED_CfDJ8MPJ7V58kgpLvtoHgdiuk5VKMK_hf3r437uZdHjdZAfve5wtVvgDZPjjDm7bgjCXKM5XM",
  "Timeout": 10,
  "RemoteEndpoint": {
    "Address": "PAM_RADIUS_SERVER_1",
    "Port": 1812
  }

Можно указать несколько серверов RADIUS, чтобы обеспечить отказоустойчивость системы. В этом случае PAM посылает запрос серверам RADIUS последовательно, в порядке указания серверов в конфигурационном файле. То есть если не удалось подключиться к первому серверу RADIUS, то PAM попытается подключиться к следующему.

Секция Radius в конфигурационном файле appsettings.json (два сервера RADIUS)
"Radius": {
  "Timeout": 10,
  "RemoteEndpoints": [
    {
      "Address": "10.11.4.28",
      "Port": 1812,
      "Secret": "123",
      "AuthenticationScheme": "MSCHAPV2",
      "AuthenticationUserName": "PrincipalName"
    },
    {
      "Address": "10.11.4.128",
      "Port": 1812,
      "Secret": "123",
      "AuthenticationScheme": "MSCHAPV2",
      "AuthenticationUserName": "PrincipalName"
    }
  ]
},