Что такое RADIUS-атрибуты

Протокол RADIUS (Remote Authentication Dial-In User Service) использует атрибуты для передачи параметров процесса AAA:

• Authentication - аутентификация (проверка подлинности);

• Authorization - авторизация (права и параметры доступа);

• Accounting - аккаунтинг (учёт сессий и событий доступа).

Атрибуты передаются в RADIUS-сообщениях в виде пар Type–Length–Value (TLV) и используются как в запросах, так и в ответах. Сами RADIUS-пакеты представляют собой структурированные UDP-кадры, содержащие постоянные поля, контрольную сумму, и набор TLV. Формат пакеты описан в RFC 2865.

Формат RADIUS-пакета

Каждый RADIUS-пакет содержит:

...

• Access-Request — отправляется от клиента на сервер RADIUS. Пакет содержит информацию, которая позволяет RADIUS-серверу определить, следует ли разрешить доступ к определенному серверу доступа к сети (NAS), который разрешает доступ пользователю. Любой пользователь, выполняющий проверку подлинности, должен отправить пакет Access-Request. После получения пакета Access-Request RADIUS-сервер должен переслать ответ.
• Access-Accept — как только RADIUS-сервер получает пакет Access-Request, он должен отправить пакет Access-Accept, если все значения атрибутов в пакете Access-Request приемлемы. Пакеты Access-Accept предоставляют сведения о конфигурации, необходимые клиенту для предоставления услуг пользователю.
• Access-Reject — как только RADIUS-сервер получает пакет Access-Request, он должен отправить пакет Access-Eject, если какое-либо из значений атрибута не является приемлемым.
• Access-Challenge — как только сервер RADIUS получает пакет Access-Accept, он может отправить клиенту пакет Access-Challenge, который требует ответа. Если клиент не знает, как реагировать, или если пакеты недействительны, RADIUS-сервер отбрасывает пакеты. Если клиент отвечает на пакет, новый пакет Access-Request должен быть отправлен вместе с исходным пакетом Access-Request.
• Accounting-Request — отправляется от клиента на сервер учета RADIUS, который предоставляет бухгалтерскую информацию. Если RADIUS-сервер успешно записывает пакет Accounting-Request, он должен отправить пакет Accounting Response.
• Accounting-Response — отправляется сервером учета RADIUS клиенту для подтверждения того, что запрос на учет был получен и успешно записан.

...

Внутри RADIUS0-пакета (в каждом запросе, и в ответах неоторых типов) находится произвольное число атрибутов. Большинство встречаются один раз за пакет, некоторые несколько раз. Сущестувет два множества атрибутов: стандартные, описанные в RFC. Их порядка 180. И вендорспецифицные, т.е. придуманные производителями сетевого оборудования.

Каждый атрибут описан в словаре: название, вендор, код, тип значения и т.п.

Словарь общеупотребительных (и в т.ч. популярных вендорских) атрибутов уже встроен в систему WNAM 2. Вы можете добавить и своего вендора, а затем - его атрибуты, руководствуясь документацией вендора

Диагностические исходящие RADIUS-атрибуты (Outbound VSA)

Outbound RADIUS Attributes (vendor-specific)

Назначение

Система может дополнять исходящие RADIUS-ответы (как Access-Accept, так и Access-Reject) проприетарными Vendor-Specific Attributes (VSA) для передачи диагностической информации: применённые профили и состояние endpoint.

Управление функцией (AppParameters)

...

Поведение:

• true - добавлять проприетарные VSA в исходящие ответы Access-Accept и Access-Reject.

• false - не добавлять проприетарные атрибуты.

Передаваемые атрибуты (Vendor = NETAMS)

Минимальный набор:

...

Примечания

...

Атрибуты добавляются в ответы независимо от результата (Accept/Reject), если включён outbound_radius_attributes.

...

Значения строковых атрибутов передаются в человекочитаемом виде (profile name / Wid).

...

.

Для создания RADIUS атрибута необходимо перейти в раздел "Объекты" →  "RADIUS атрибуты". В данном разделе отображается список созданных атрибутов.

...