如何使用多个 PAN OS RADIUS 服务器配置文件 (服务器列表) 进行身份验证

如何使用多个 PAN OS RADIUS 服务器配置文件 (服务器列表) 进行身份验证

24793
Created On 09/26/18 13:49 PM - Last Modified 06/08/23 09:50 AM


Resolution


概述

本文档概述了在身份验证尝试期间如何使用 radius 配置文件中定义的 radius 服务器。

 

详细

帕洛阿尔托网络设备通过 RADIUS 授权请求数据包尝试将套接字请求发送到列表中的每个服务器。身份验证尝试的服务器顺序基于所配置的顺序。

 

举个例子

三 radius 服务器配置文件配置在设备 > 服务器配置文件 > 半径:

  • 服务器 1-10.46.48.95
  • 服务器 2-10.46.48.96
  • 服务器 3- 10.46.48.97

 

配置中 RADIUS 服务器的配置文件如下所示:

设置 vsys vsys2 服务器配置文件 radius radius-auth-1 服务器 srvr-1 秘密 AQ==TA0rlR/6vW+aEEidxA/DVuwdJtU=sh7o9V7gbphma3iMCxtP/Q==

设置 vsys vsys2 服务器配置文件 radius radius-auth-1 服务器 srvr-1 端口1812

设置 vsys vsys2 服务器配置文件 radius radius-auth-1 服务器 srvr-1 ip 地址10.46.48.95

设置 vsys vsys2 服务器配置文件 radius radius-auth-1 服务器 srvr-2 秘密 AQ==TA0rlR/6vW+aEEidxA/DVuwdJtU=sh7o9V7gbphma3iMCxtP/Q==

设置 vsys vsys2 服务器配置文件 radius radius-auth-1 服务器 srvr-2 端口1812

设置 vsys vsys2 服务器配置文件 radius radius-auth-1 服务器 srvr-2 ip 地址10.46.48.96

设置 vsys vsys2 服务器配置文件 radius radius-auth-1 服务器 srvr-3 秘密 AQ==TA0rlR/6vW+aEEidxA/DVuwdJtU=sh7o9V7gbphma3iMCxtP/Q==

设置 vsys vsys2 服务器配置文件 radius radius-auth-1 服务器 srvr-3 端口1812

设置 vsys vsys2 服务器配置文件 radius radius-auth-1 服务器 srvr-3 ip 地址10.46.48.97

设置 vsys vsys2 服务器轮廓半径 radius-auth-1 checkgroup no

设置 vsys vsys2 服务器-配置文件半径 radius-auth-1 超时3

设置 vsys vsys2 服务器-配置文件半径 radius-auth-1 重试次数3

 

帕洛阿尔托网络设备将以3秒的间隔连续三次尝试每台服务器。间隔基于配置的超时值 (默认为3秒)。

    • 将 3 radius 授权请求数据包传输到 server-1
    • 将 3 radius 授权请求数据包传输到 server-2
    • 将 3 radius 授权请求数据包传输到 server-3

 

带有数据包捕获的示例方案:

Server-3 是唯一响应 RADIUS 身份验证请求的服务器。在此方案中, 下面的示例输出的超时间隔为1秒。下面的数据包捕获示例显示了对 server-1 和 server-2 进行的三次尝试。成功地尝试了 server-3:

02:44:26.870888 IP 10.46.32.5. 55990 > 10.46.48.95.radius: 半径, 访问请求 (1), 编号: 0x23 长度:66

02:44:27.871910 IP 10.46.32.5. 55990 > 10.46.48.95.radius: 半径, 访问请求 (1), 编号: 0x23 长度:66

02:44:28.872957 IP 10.46.32.5. 55990 > 10.46.48.95.radius: 半径, 访问请求 (1), 编号: 0x23 长度:66

02:44:29.874032 IP 10.46.32.5. 55990 > 10.46.48.96.radius: 半径, 访问请求 (1), 编号: 0x23 长度:66

02:44:30.875082 IP 10.46.32.5. 55990 > 10.46.48.96.radius: 半径, 访问请求 (1), 编号: 0x23 长度:66

02:44:31.876130 IP 10.46.32.5. 55990 > 10.46.48.96.radius: 半径, 访问请求 (1), 编号: 0x23 长度:66

02:44:32.877199 IP 10.46.32.5. 55990 > 10.46.48.97.radius: 半径, 访问请求 (1), 编号: 0x23 长度:66

02:44:32.878431 IP 10.46.48.97.radius > 10.46.32.5. 55990: 半径, 接入接受 (2), 编号: 0x23 长度:37

 

另一个示例方案:

Server-2 是唯一响应 RADIUS 授权请求的服务器。

在这种情况下, 帕洛阿尔托网络设备将三个授权请求发送到 server-1, 然后在超时间隔内向 server-2 传输。如果 server-2 响应, 则不再进行任何尝试。

 

所有者: jye
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClqECAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language