Versions Compared

Old Version 3

changes.mady.by.user Никита Леонов

Saved on

compared with

New Version 4

changes.mady.by.user Гордей Сурков

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Что такое RADIUS-атрибуты

RADIUS (Remote Authentication Dial-In User Service)

...

Обмен данными между сервером RADIUS и клиентом RADIUS осуществляется в RADIUS-пакеты. Поля данных передаются слева направо. Ниже представлены поля в пакете RADIUS.

...

Каждый пакет RADIUS содержит следующую информацию:

...

  • запрос доступа;
  • доступ-прием;
  • отказ от доступа;
  • бухгалтерский запрос;
  • бухгалтерский учет;

...

использует атрибуты для передачи параметров AAA:

  • Authentication - аутентификация (проверка подлинности);

  • Authorization - авторизация (права и параметры доступа);

  • Accounting - аккаунтинг (учёт сессий и событий доступа).

Атрибуты передаются в RADIUS-сообщениях в виде пар Type–Length–Value (TLV) и используются как в запросах, так и в ответах.


Image Added

Формат RADIUS-пакета

Каждый RADIUS-пакет содержит:

  • Code (Код) - 1 октет, определяет тип сообщения;

  • Identifier (Идентификатор) - 1 октет, помогает сопоставлять запросы и ответы и обнаруживать повторяющиеся запросы;

  • Length (Длина) - 2 октета, определяет длину всего пакета;

  • Authenticator (Аутентификатор) - 16 октетов, используется для проверки подлинности/целостности сообщения.

Типы аутентификаторов:

...

  • Request Authenticator - используется в

  • Access-Request и Accounting-Request

...

  • ;

  • Response Authenticator -

...

  • используется в ответах сервера (Access-Accept, Access-Reject, Access-Challenge, Accounting-Response).

Существуют следующие типы пакетов RADIUS:

...

Типы файлов, используемых RADIUS важны для передачи аутентификационной информации от клиента к серверу. Каждый файл определяет уровень аутентификации или авторизации для пользователя: файл словаря определяет, какие атрибуты может реализовать NAS пользователя; файл clients определяет, каким пользователям разрешено делать запросы к RADIUS-серверу; пользовательские файлы определяют, какой пользователь запрашивает проверку подлинности RADIUS-сервера на основе данных безопасности и конфигурации.

Диагностические исходящие RADIUS-атрибуты (Outbound VSA)

Outbound RADIUS Attributes (vendor-specific)

Назначение

Система может дополнять исходящие RADIUS-ответы (как Access-Accept, так и Access-Reject) проприетарными Vendor-Specific Attributes (VSA) для передачи диагностической информации: применённые профили и состояние endpoint.

Управление функцией (AppParameters)

  • Ключ:outbound_radius_attributes

  • Тип:boolean

  • По умолчанию:true

Поведение:

  • true - добавлять проприетарные VSA в исходящие ответы Access-Accept и Access-Reject.

  • false - не добавлять проприетарные атрибуты.

Передаваемые атрибуты (Vendor = NETAMS)

Минимальный набор:

  • Authentication-Profile-Name(string) - имя применённого профиля аутентификации.

  • Authorization-Profile-Name(string) - имя применённого профиля авторизации.

  • Endpoint-Id(string) - идентификатор endpoint в системе (Wid).

  • Endpoint-Compliance-State(enum) - итоговое состояние endpoint (результат/агрегация правил Sakura и endpoint-check).

Примечания

  • Атрибуты добавляются в ответы независимо от результата (Accept/Reject), если включён outbound_radius_attributes.

  • Значения строковых атрибутов передаются в человекочитаемом виде (profile name / Wid).

  • Endpoint-Compliance-State использует значения, определённые системой compliance (Sakura + endpoint-check).

Для создания RADIUS атрибута необходимо перейти в раздел "Объекты" →  "RADIUS атрибуты". В данном разделе отображается список созданных атрибутов.

...