Integrace ověření služby RADIUS se serverem Azure Multi-Factor AuthenticationIntegrate RADIUS authentication with Azure Multi-Factor Authentication Server

RADIUS je standardní protokol pro přijímání požadavků na ověření a zpracování těchto požadavků.RADIUS is a standard protocol to accept authentication requests and to process those requests. Azure Multi-Factor Authentication Server může fungovat jako server RADIUS.The Azure Multi-Factor Authentication Server can act as a RADIUS server. Jeho vložením mezi klienta RADIUS (zařízení VPN) a cíl ověřování můžete přidat dvoustupňové ověřování.Insert it between your RADIUS client (VPN appliance) and your authentication target to add two-step verification. Cíl ověřování může být služba Active Directory, adresář LDAP nebo jiný server RADIUS.Your authentication target could be Active Directory, an LDAP directory, or another RADIUS server. Aby služba Azure Multi-Factor Authentication (MFA) fungovala, je nutné Azure MFA Server nakonfigurovat tak, aby komunikoval s klientskými servery i s cílem ověřování.For Azure Multi-Factor Authentication (MFA) to function, you must configure the Azure MFA Server so that it can communicate with both the client servers and the authentication target. Azure MFA Server přijímá požadavky od klienta protokolu RADIUS, ověřuje přihlašovací údaje proti cíli ověřování, přidává ověřování Azure Multi-Factor Authentication a odesílá odpověď zpět do klienta protokolu RADIUS.The Azure MFA Server accepts requests from a RADIUS client, validates credentials against the authentication target, adds Azure Multi-Factor Authentication, and sends a response back to the RADIUS client. Požadavek na ověření bude úspěšný pouze v případě, že uspěje primární ověřování i ověřování Multi-Factor Authentication.The authentication request only succeeds if both the primary authentication and the Azure Multi-Factor Authentication succeed.

Poznámka

Server MFA podporuje pouze PAP (protokol ověřování hesla) a protokoly MSCHAPv2 (protokol ověřování Challenge Handshake společnosti Microsoft) RADIUS při fungování jako server RADIUS.The MFA Server only supports PAP (password authentication protocol) and MSCHAPv2 (Microsoft's Challenge-Handshake Authentication Protocol) RADIUS protocols when acting as a RADIUS server. Když server MFA funguje jako proxy server protokolu RADIUS na jiný server protokolu RADIUS, který podporuje tento protokol, je možné použít jiné protokoly, například protokol EAP (Extensible Authentication Protocol).Other protocols, like EAP (extensible authentication protocol), can be used when the MFA server acts as a RADIUS proxy to another RADIUS server that supports that protocol.

V této konfiguraci nejsou funkční jednosměrné tokeny SMS a OATH, protože MFA Server nemůže vytvořit úspěšné odpovědi RADIUS na výzvy k ověření pomocí alternativních protokolů.In this configuration, one-way SMS and OATH tokens don't work since the MFA Server can't initiate a successful RADIUS Challenge response using alternative protocols.

Ověřování Radius

Přidání klienta protokolu RADIUSAdd a RADIUS client

Pro konfiguraci ověřování pomocí protokolu RADIUS nainstalujte server Azure Multi-Factor Authentication na server Windows.To configure RADIUS authentication, install the Azure Multi-Factor Authentication Server on a Windows server. Pokud máte prostředí služby Active Directory, server by měl být připojen k doméně uvnitř sítě.If you have an Active Directory environment, the server should be joined to the domain inside the network. Pomocí následujícího postupu nakonfigurujte server Azure Multi-Factor Authentication:Use the following procedure to configure the Azure Multi-Factor Authentication Server:

  1. V rámci Azure Multi-Factor Authentication Serveru klikněte na ikonu Ověřování pomocí protokolu RADIUS v levé nabídce.In the Azure Multi-Factor Authentication Server, click the RADIUS Authentication icon in the left menu.
  2. Zaškrtněte políčko Povolit ověřování pomocí protokolu RADIUS.Check the Enable RADIUS authentication checkbox.
  3. Na kartě klienti změňte porty Ověřování a Monitorování, pokud služba Azure MFA RADIUS potřebuje naslouchat požadavkům protokolu RADIUS na nestandardních portech.On the Clients tab, change the Authentication and Accounting ports if the Azure MFA RADIUS service needs to listen for RADIUS requests on non-standard ports.
  4. Klikněte na tlačítko Add (Přidat).Click Add.
  5. Zadejte IP adresu zařízení/serveru, který se bude ověřovat v Azure Multi-Factor Authentication Serveru, název aplikace (volitelné) a sdílený tajný klíč.Enter the IP address of the appliance/server that will authenticate to the Azure Multi-Factor Authentication Server, an application name (optional), and a shared secret.

    Název aplikace se zobrazí v sestavách a může se zobrazit v rámci ověřovacích zpráv SMS nebo ověřovacích zpráv mobilních aplikací.The application name appears in reports and may be displayed within SMS or mobile app authentication messages.

    Sdílený tajný klíč musí být stejný jak na Azure Multi-Factor Authentication Serveru, tak i v zařízení/serveru.The shared secret needs to be the same on both the Azure Multi-Factor Authentication Server and appliance/server.

  6. Zaškrtněte políčko Vyžadovat porovnání uživatele u služby Multi-Factor Authentication, pokud se všichni uživatelé importovali na server a budou podléhat vícefaktorovému ověřování.Check the Require Multi-Factor Authentication user match box if all users have been imported into the Server and subject to multi-factor authentication. Pokud ještě na server nebyl importován velký počet uživatelů nebo budou uživatelé vyloučení z dvoustupňového ověřování, nechte toto políčko nezaškrtnuté.If a significant number of users have not yet been imported into the Server or are exempt from two-step verification, leave the box unchecked.

  7. Zaškrtněte políčko Povolit záložní token OAUTH, pokud chcete použít hesla OAUTH z aplikací pro mobilní ověřování jako záložní metodu.Check the Enable fallback OATH token box if you want to use OATH passcodes from mobile verification apps as a backup method.
  8. Klikněte na OK.Click OK.

Opakováním kroků 4 až 8 přidejte požadovaný počet dalších klientů protokolu RADIUS.Repeat steps 4 through 8 to add as many additional RADIUS clients as you need.

Konfigurace klienta protokolu RADIUSConfigure your RADIUS client

  1. Klikněte na kartu Cíl.Click the Target tab.
  2. Pokud je Azure MFA Server nainstalován na server připojený k doméně v prostředí služby Active Directory, vyberte doménu systému Windows.If the Azure MFA Server is installed on a domain-joined server in an Active Directory environment, select Windows domain.
  3. Pokud musí být uživatelé ověřováni proti adresáři LDAP, vyberte Vázání protokolu LDAP.If users should be authenticated against an LDAP directory, select LDAP bind.

    Vyberte ikonu Integrace adresáře a na kartě Nastavení upravte konfiguraci protokolu LDAP tak, aby server mohl vytvořit vazbu k adresáři.Select the Directory Integration icon and edit the LDAP configuration on the Settings tab so that the Server can bind to your directory. Pokyny ke konfiguraci protokolu LDAP najdete v průvodci konfigurací serveru proxy protokolu LDAP.Instructions for configuring LDAP can be found in the LDAP Proxy configuration guide.

  4. Pokud mají být uživatelé ověřování proti jinému serveru RADIUS, vyberte servery RADIUS.If users should be authenticated against another RADIUS server, select RADIUS server(s).

  5. Klikněte na Přidat a nakonfigurujte server, na který bude Azure MFA Server přes proxy předávat požadavky protokolu RADIUS.Click Add to configure the server to which the Azure MFA Server will proxy the RADIUS requests.
  6. V dialogovém okně Přidat server protokolu RADIUS zadejte IP adresu serveru protokolu RADIUS a sdílený tajný klíč.In the Add RADIUS Server dialog box, enter the IP address of the RADIUS server and a shared secret.

    Sdílený tajný klíč musí být stejný jak na Azure Multi-Factor Authentication Serveru, tak i na serveru protokolu RADIUS.The shared secret needs to be the same on both the Azure Multi-Factor Authentication Server and RADIUS server. Změňte port ověřování a port monitorování účtů, pokud server RADIUS využívá jiné porty.Change the Authentication port and Accounting port if different ports are used by the RADIUS server.

  7. Klikněte na OK.Click OK.

  8. Přidejte Azure MFA Server jako klienta protokolu RADIUS v druhém serveru protokolu RADIUS, aby mohl zpracovávat požadavky na přístup odeslané z Azure MFA Serveru.Add the Azure MFA Server as a RADIUS client in the other RADIUS server so that it can process access requests sent to it from the Azure MFA Server. Použijte stejný sdílený tajný klíč konfigurovaný na Azure Multi-Factor Authentication Serveru.Use the same shared secret configured in the Azure Multi-Factor Authentication Server.

Opakováním těchto kroků přidejte další servery RADIUS.Repeat these steps to add more RADIUS servers. Pomocí tlačítek Přesunout nahoru a Přesunout dolů nakonfigurujte pořadí, ve kterém je Azure MFA Server má volat.Configure the order in which the Azure MFA Server should call them with the Move Up and Move Down buttons.

Úspěšně jste nakonfigurovali Azure Multi-Factor Authentication Server.You've successfully configured the Azure Multi-Factor Authentication Server. Server teď naslouchá na nakonfigurovaných portech požadavkům přístupu protokolu RADIUS z konfigurovaných klientů.The Server is now listening on the configured ports for RADIUS access requests from the configured clients.

Konfigurace klienta protokolu RADIUSRADIUS Client configuration

Chcete-li nakonfigurovat klienta RADIUS, postupujte podle pokynů:To configure the RADIUS client, use the guidelines:

  • Nakonfigurujte zařízení/server pro ověřování přístupu prostřednictvím protokolu RADIUS k IP adrese Azure Multi-Factor Authentication Serveru, která funguje jako server RADIUS.Configure your appliance/server to authenticate via RADIUS to the Azure Multi-Factor Authentication Server’s IP address, which acts as the RADIUS server.
  • Použijte stejný sdílený tajný klíč, který byl nakonfigurován dříve.Use the same shared secret that was configured earlier.
  • Časový limit platnosti protokolu RADIUS nakonfigurujte na 30–60 sekund, aby byl dostatek času na ověření přihlašovacích údajů uživatele, provedení dvoustupňového ověřování, obdržení odpovědi a následnou odpověď na žádost o přístup protokolu RADIUS.Configure the RADIUS timeout to 30-60 seconds so that there is time to validate the user’s credentials, perform two-step verification, receive their response, and then respond to the RADIUS access request.

Další postupNext steps

Zjistěte, jak provést integraci s ověřováním RADIUS, pokud máte službu Azure Multi-Factor Authentication v cloudu.Learn how to integrate with RADIUS authentication if you have Azure Multi-Factor Authentication in the cloud.