添加Radius配置

本文介绍IT管理员如何在云盾IDaaS控制台添加Radius配置。

背景信息

RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证系统)是一种用于在需要认证其链接的网络访问服务器(NAS)和共享认证服务器之间进行认证、授权和记帐信息的文档协议。

RADIUS 服务器负责接收用户的连接请求、认证用户,然后返回客户机所有必要的配置信息以将服务发送到用户。

IT管理员可以在云盾IDaaS中添加Radius,实现OTP登录VPN、连接WI-FI等。

操作步骤

  1. 以IT管理员账号登录云盾IDaaS控制台。

  2. 在左侧导航栏,单击认证 > Radius

  3. 在Radius页面,单击新建 Radius

  4. 在添加Radius页面,完成以下配置: 

    说明

    配置好Radius各属性值,下载Radius config配置文件,并将其与Radius服务器一起使用,可实现OTP登录VPN,连接Wi-Fi等。

    配置

    描述

    Radius名称

    为Radius命名,该名称必须保持唯一。

    Radius认证端口

    Radius认证端口,默认为1812。

    Radius计费端口

    Radius的计费端口,默认为1813。

    Radius SharedSecret

    Raduis的共享密钥,10位及以上字符串组合。

    Radius连接超时时间

    Radius连接超时时间,单位为毫秒(ms)。默认值为10,000,即10秒。

    Radius认证方式

    Radius 服务器在当前系统进行认证的方式,可选值: 

    • 账号 OTP

    • 账号密码

    • 账号 (密码 OTP)

    • 账号密码(LDAP或其它数据库)。

    说明

    若选择该方式,需要在IDaaS中添加对应的认证源并开启。

    其他配置: 

    • 启用Radius计费功能:是否启用Radius计费功能。Radius 服务器默认作为认证服务器使用,不启用Radius计费功能。

    • 授权公司所有账户:是否授权公司所有账户登录该Radius。若不授权,可通过分配组来进行细粒度授权。

    • 支持账户硬件OTP:若勾选,如果账户有硬件OTP,则允许其使用。

    硬件 OTP 允许误差

    支持硬件OTP时,配置硬件OTP的时间误差周期。取值范围:0-10。默认是2,即前后两周期范围内OTP码都允许。

    IDaaS平台服务器地址

    公司所在的 IDaaS 平台服务器地址。

    Radius Vendor

    选择Radius供应商,可选值: 

    • 未知

    • 华为

    • 思科

    • WISPr

    备注

    备注信息。

  5. 单击新建RADIUS,填写radius名称,点击确定即可。

6. linux服务器上部署RADIUS Server

  • 在IDaaS页面下载 RADIUS Server 安装包

  • 安装包中有安全部署文档说明,直接使用/run.sh 命令启动, 不需要编译

FAQ

1. 使用radius认证提示 Invalid username 

请排查 sharedsecret 参数是否添加正确。

2.显示下图报错内容

是因为使用的算法 Java不支持,需要更新JDK或 JRE下的jce 配置。

3. Radius 服务器部署在内网,但是可以访问到公网的IDaaS,是否可以这样部署。

可以。 Radius通过调用IDaaS API实现认证。

阿里云首页 应用身份服务 相关技术圈