本文介绍IT管理员如何在云盾IDaaS控制台添加Radius配置。

背景信息

RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证系统)是一种用于在需要认证其链接的网络访问服务器(NAS)和共享认证服务器之间进行认证、授权和记帐信息的文档协议。

RADIUS 服务器负责接收用户的连接请求、认证用户,然后返回客户机所有必要的配置信息以将服务发送到用户。

IT管理员可以在云盾IDaaS中添加Radius,实现OTP登录VPN、连接WI-FI等。

操作步骤

  1. 以IT管理员账号登录云盾IDaaS控制台。
  2. 在左侧导航栏,单击认证 > Radius
  3. 在Radius页面,单击新建 Radius
  4. 在添加Radius页面,完成以下配置:
    说明 配置好Radius各属性值,下载Radius config配置文件,并将其与Radius服务器 一起使用,可实现OTP登录VPN,连接Wi-Fi等。
    配置 描述
    Radius名称 为Radius命名,该名称必须保持唯一。
    Radius认证端口 Radius认证端口,默认为1812。
    Radius计费端口 Radius的计费端口,默认为1813。
    Radius SharedSecret Raduis的共享密钥,10位及以上字符串组合。
    Radius连接超时时间 Radius连接超时时间,单位为毫秒(ms)。默认值为10,000,即10秒。
    Radius认证方式 Radius 服务器 在当前系统进行认证的方式,可选值:
    • 账号 OTP
    • 账号 密码
    • 账号 (密码 OTP)
    • 账号 密码(LDAP或其它数据库)。
    说明 若选择该方式,需要在IDaaS中添加对应的认证源并开启。
    其他配置:
    • 启用Radius计费功能:是否启用Radius计费功能。Radius 服务器默认作为认证服务器使用,不启用Radius计费功能。
    • 授权公司所有账户:是否授权公司所有账户登录该Radius。若不授权,可通过分配组来进行细粒度授权。
    • 支持账户硬件OTP:若勾选,如果账户有硬件OTP,则允许其使用。
    硬件 OTP 允许误差 支持硬件OTP时,配置硬件OTP的时间误差周期。取值范围:0-10。默认是2,即前后两周期范围内OTP码都允许。
    IDaaS平台服务器地址 公司所在的 IDaaS 平台服务器地址。
    Radius Vendor 选择Radius供应商,可选值:
    • 未知
    • 华为
    • 思科
    • WISPr
    备注 备注信息。
  5. 单击新建RADIUS,填写radius名称,点击确定即可。

6. linux服务器上部署RADIUS Server

  • 在IDaaS页面下载 RADIUS Server 安装包
  • 安装包中有安全部署文档说明,直接使用/run.sh 命令启动, 不需要编译

FAQ

1. 使用radius认证提示 Invalid username

请排查 sharedsecret 参数是否添加正确。

2.显示下图报错内容

是因为使用的算法 Java不支持,需要更新JDK或 JRE下的jce 配置。

3. Radius 服务器部署在内网,但是可以访问到公网的IDaaS,是否可以这样部署。

可以。 Radius通过调用IDaaS API实现认证。