Active Directory-Verbindung mit Citrix Access Gateway mit RADIUS

Wenn stattdessen lokale Benutzer mit Citrix Access Gateway wir unsere Windows Active Directory verwenden nutzen möchten, unsere Domain-Benutzer uns zu bestätigen, wenn sie von außen Verbindungs, Wir müssen unser IAS-Dienst auf einem Netzwerk-Server installiert werden (Internetauthentifizierungsdienst), gesetzt und gibt die CAG so zu sein,. Auge, wenn die CAG ist in der DMZ Notwendigkeit zu kartieren Ports IAS RADIUS-Server, der die 1812 und 1813, tcp ambos.

gut, vor allem auf unserem Netzwerk-Server ist den IAS-Dienst zu installieren, für sie, Wir installieren es aus “Systemsteuerung” > “Programme hinzufügen oder entfernen” > “Hinzufügen oder Entfernen von Windows-Komponenten” > klicken Sie auf “Network Services” und dann auf die Schaltfläche “Details…” wählen Sie die Komponente “Internetauthentifizierungsdienst”, Wir markieren sie und übernehmen Sie alle installieren.

einmal installiert, wir öffnen, von “Verwaltung”, wählen “Internetauthentifizierungsdienst”,

Das erste, was ist es, den Client zu erstellen, das ist der CAG, für sie, von der Konsole, auf “clientes RADIUS” Rechtsklick wählen “Neue RADIUS-Client”,

Wir zeigen Ihnen, einen beschreibenden Namen alle, die so dienen, dass wir erkennen können; und wir setzen die IP-Adresse oder den vollen Namen CAG CAG DNS, “folgende”,

in “Client-Anbieter” wählen “RADIUS Norm”, und das ist, wo wir werden Ihnen sagen, was das Geheimnis sein wird, so dass sie zwischen dem IAS und den CAG validieren, Dieses Geheimnis wird anschließend zeigen wir die CAG, “zum Abschluss bringen”,

Nun müssen wir eine Politik für die CAG zeigen, werden wir “Remote Access”, mit der rechten Maustaste und wählen Sie “Neue Remote Access”,

“folgende”,

Wählen Sie die zweite Option “Legen Sie eine benutzerdefinierte Richtlinie bis” und wir sagen, einen beschreibenden Namen, wir werden die Richtlinie verwenden, um diese ja angeben können die CAG angeschlossen werden, “folgende”,

klicken Sie auf “hinzufügen…”

Wählen Sie das Ende “Windows-Groups” und klicken Sie auf “hinzufügen…”

klicken Sie auf “hinzufügen…” Windows-Gruppen zu wählen, die DA wollen wir CAG verbinden können,,

Wir schreiben den Namen der Gruppe, in der wir die Nutzer versteckt, die an das VPN anschließen möchten, in meinem Fall in meinem D.A.. Ich habe eine Gruppe mit dem Namen “UsuariosCAG” was ich an alle, die ihnen den Zugang geben möchten senden. Wir wählen die Gruppen, die uns interessieren, und klicken Sie auf “akzeptieren”,

Wir überprüfen unsere Gruppen aus und drücken auf “akzeptieren”,

“folgende”,

wählen “RAS-Berechtigung erteilen” Zugang zu dieser Benutzergruppe der Verbindung zur Verfügung zu stellen, “folgende”,

klicken Sie auf “Profil bearbeiten…”,

Tab “Autenticacion” wir deaktivieren Sie die ersten beiden Kontrollen “Microsoft-verschlüsselte Authentifizierung Version 2 (MS-CHAP v2)” und “Microsoft-verschlüsselte Authentifizierung (MS-CHAP)”; und markieren Sie die beiden anderen Kontrollen “verschlüsselte Authentifizierungs (KERL)” und “Authentifizierung ohne Verschlüsselung (BREI, SPAP)”,

Tab “erweiterte Optionen” löschen, was Sie, indem Sie sie haben, und klicken Sie auf “entfernen”; und klicken Sie dann auf “hinzufügen…”,

Wählen Sie das Attribut “Herstellerspezifische” und klicken Sie auf “hinzufügen”,

klicken Sie auf “hinzufügen”,

in “Aus der Liste wählen” angezeigt “RADIUS Norm” und unter, wir sollten beachten, dass “Ja trifft” la norma RADIUS RFC, klicken Sie auf “Attribut gesetzt…”

wir fügen “Attributwert” mit den folgenden Informationen: “CTXSUserGroups =” (ohne Anführungszeichen) durch den Namen der Benutzergruppe in der Windows-Domäne gefolgt, die wir hinzugefügt früher, in meinem Fall war es UsuariosCAG, so würde wie folgt aussehen: CTXSUserGroups = UsuariosCAG. Wenn aus irgendeinem Grund haben wir mehr als eine Gruppe, trennt Semikolon (;), wir akzeptieren,

wir akzeptieren,

darauf hingewiesen, dass “Nein”,

Und wir können auch weiterhin, klicken Sie auf “folgende”,

Wir überprüfen, ob alles in Ordnung ist und das Ende,

Wir sehen, dass die Richtlinie, die Sie erstellt haben höchste Priorität bei Bestellung bleibt 1. Wir sind mit dem Teil von Windows getan, Es ist nicht mehr braucht hier einrichten, Jetzt wird alles von der Management-Konsole CAG sein.

Wir öffnen die Konsole die CAG verwalten, “Access Gateway Administration Tool”, wir gehen auf die Registerkarte “Authentifizierung”, wir können beide Authentifizierungen verlassen, die lokalen Benutzer und eine neue für RADIUS-Benutzer erstellen, sowieso, in diesem Beispiel, Nutzer nehmen nur die RADIUS-Authentifizierung, so dass die Standard-borrare bringt, für sie aus “Aktion” > klicken Sie in “Entfernen Standardbereich”,

“ja”,

jetzt “Hinzufügen eines Authentifizierungsbereichs” weisen auf einen Anruf “Standard” und klicken Sie auf “Hinzufügen”,

Wir wählen Authentifizierungstyp “RADIUS Authentifizierungs” und klicken Sie auf “OK”,

Wir müssen die CAG sagen, die der RADIUS-Server ist, für sie in “Primärer RADIUS-Server-Einstellungen” in “IP Adresse” wird die RADIUS-Server-IP-Adresse, der Standard-Port ist 1812, und jetzt müssen wir das Geheimnis haben wir früher in dem RADIUS-Server erstellt hatten, als das RADIUS-Client Erstellen. klicken Sie auf “einreichen” speichern Sie Ihre Änderungen. Wenn aus irgendeinem Grund, den wir einen anderen RADIUS-Server zeigt an unter, auf dem sekundären Server.

“OK”

Und überprüfen Sie, dass die Registerkarte “Genehmigung” alles ist wie im Bild oben:
“Herstellerkürzel” = 0
“Hersteller zugewiesene Attributnummer” = 0
“Attributwert prefix” = CTXSUserGroups =
“Separator” = ;

klicken Sie auf “einreichen”,

“OK”, Ich muss nichts anderes tun, Versuchen Sie nun von außen zu verbinden, um zu überprüfen, dass alles gut ist.

Um jeden Fall zu überprüfen, werden wir in dem RADIUS-Server sehen, im “Ereignisanzeige”, zeigt an, die richtig angeschlossen ist oder wer wollte schon verbinden und nicht.

Dies würde die endgültige Konfiguration des CAG in der DMZ seines Hinweis auf RADIUS-Server:

Da die FW sollte der Internet öffnet ausschließlich Port 443 tcp die CAG so dass die Kunden zugreifen können und die Client-Software, um das VPN zu verbinden. LAN-Netzwerk mit dem DMZ-Netzwerk sollte nur Port öffnen 9001 tcp die CAG sie aus der Ferne mit Administration Tools verwalten. Und der DMZ zum LAN-Netzwerk sollten die Ports öffnen, die uns interessiert, Wenn Sie die Verwendung RADIUS umleiten 1812 tcp und 1813 tcp den IAS-Server. die 1494 tcp (oder 2598 tcp Sie verwenden “Session reability”) Citrix-Server und wenn wir daran interessiert sind, 1604 tcp, wenn der Client von Citrix (PN o PNA) Das Surfen wird die Citrix-Community zu lokalisieren.

www.bujarra.com – Hector Herrero – nhediebuG@binjarra.com – v 1.0