Skip to content

认证登录企业设备

当企业设备集成在 IDaaS 平台时可配置多种认证方式登录设备,例如 IDaaS 本地库认证、 OTP 认证以及使用 AD 的用户密码体系认证等。

本章节指导您认证登录企业设备。

TIP

本文以深信服 VPN 为例进行操作说明,参考文档SANGFOR_SSLVPN_v7.1_RADIUS 认证测试指导

前提条件

  • 请检查网络设备是否可连接 IDaaS 的 Radius 服务地址。
  • 拥有 IDaaS 企业中心平台的管理员权限。

操作步骤

SANGFOR_SSL VPN 配置

  1. 登录 SANGFOR_SSL VPN ,选择 “SSL VPN 设置 > 认证设置” ,选择 Radius 认证。

    操作步骤

  2. 新建 Radius 认证服务器,配置服务器基本参数,请参考下表。

    操作步骤

    参数说明
    服务器地址新增企业设备中在 IDaaS 平台获取的 Radius Server+认证端口。例如: 39.100.2.100:30058
    认证协议不加密协议 PAP
    共享密钥与 IDaaS 中企业设备的共享密钥一致
    字符集默认是 UTF-8,可根据实际进行选择,支持 UTF-8 和 GBK
    认证超时设置认证超时的设置,根据客户需求选择启用还是禁用,根据客户需求配置超时时间,默认 5s
  3. 可选)配置 Radius 服务器扩展属性, Radius 用户绑定手机号码或者虚拟 IP ,需要客户 RADIUS 服务器设置好相应的 ID 字段及子属性值绑定这些信息, SSLVPN 上 RADIUS 认证配置好对应的属性 ID ,在用户认证的时候会通过 SSLVPN 上 RADIUS 认证配置好的属性 ID 去 RADIUS 服务器查询对应的值,即手机号码或者虚拟 IP 。

    TIP

    Radius 扩展属性主要应用于 radius 用户需要绑定手机号码或者虚拟 IP 的时候的设置,如果没有这个需求可以不进行配置。

    操作步骤

  4. 可选)配置 Radius 用户组映射,当客户需要针对 RADIUS 上的用户的分组授权不同的资源,可以将 radius 上的不同用户组映射到本地不同用户组。

    操作步骤

    此处字段指 RADIUS 服务器上用户分组的字段名称。然后配置映射到本地对应用户组,比如 RADIUS 服务器上的字段 1 对应本地的学生组,字段 0 对应本地的老师组。

    操作步骤

    TIP

    设置 RADIUS 组映射的时候, RADIUS 分组信息必须由 CLASS 属性 25 携带,这样 SSL VPN 才能识别,进行组映射在没有配置特定的组映射的时候, RADIUS 的用户会匹配默认的组映射规则,匹配到对应的用户组的权限,这个默认映射的用户组可以自行设置。然后授权需要给 RADIUS 用户访问的资源。

  5. 配置完成后进入 “认证策略” 页面,选择 “外部认证设置” 。

    操作步骤

  6. 勾选此前新增的 Radius 认证服务器。

    操作步骤

验证登录

  1. 在 VPN 控制台选择 “SSL VPN 设置 > 用户管理” ,然后编辑用户,选择主要认证方式为 “Radius” ,避免用户测试登录时首选本地数据库,影响测试结果。

    操作步骤

  2. 在浏览器或客户端访问 vpn 地址,输入 IDaaS 的测试用户名密码即可登录,通过 IDaaS 企业中心或 VPN 控制台的用户登录日志均可查看测试登录情况。

    TIP

    此处的认证登录方式与新增企业设备时配置的认证源有关,当新增设备时仅配置了一次认证源,则此处只需认证一次;若新增设备时配置了二次认证源,则此处需要进行二次认证。

    操作步骤

竹云IDaaS开放平台