Раздел "RADIUS" служит для настройки профилей серверов авторизации протокола RADIUS, а также объединения их в группы серверов.

Для перехода в раздел нажмите на вкладку бокового меню "Конфигурация" и в открывшемся выпадающем списке выберите раздел "RADIUS".

Подробная информация о механике взаимодействия описана в этом разделе. Здесь описаны возможности по настройке профилей и групп серверов в веб-интерфейсе. 

Данный раздел веб-интерфейса позволяет:

  • просмотреть информацию о каждом сервере;
  • создать или удалить профиль сервера;
  • внести изменения в конфигурацию профиля сервера;
  • создать, изменить или удалить группу серверов;

На странице раздела "RADIUS" представлены:

  • кнопка для применения фильтрации (расширенный фильтр);
  • строка для быстрого поиска серверов по IP-адресу (быстрый фильтр);
  • кнопка для создания нового сервера;
  • таблица со списком серверов;
  • кнопка для создания новой группы серверов;
  • таблица со списком групп серверов.


После внесения изменений в конфигурацию контроллера, точек доступа или групп не забывайте выполнить применение внесенных изменений на точках доступа (см. пункт "Применение изменений в конфигурации" в разделе 7 Настройка).

7.3.7.1 RADIUS сервера

Список серверов представлен на странице в табличной форме, для каждого сервера имеются следующие элементы:

  • иконка слева от имени сервера, отображающая, включен ли этот сервер на контроллере;
  • имя сервера, заданное в настройках;
  • иконка доступности сервера справа от имени (по результатам периодической проверки или на основе последних ответов на запросы к серверу);
  • IP-адрес сервера.
  • кнопка для изменения настроек сервера;
  • кнопка для удаления сервера.

Для изменения настроек сервера нажмите на кнопку "", откроется страница для внесения изменений в настройки выбранного сервера (см. раздел "Просмотр и изменение настроек сервера"). 

Для удаления сервера из базы данных нажмите на кнопку "", откроется модальное окно для подтверждения операции удаления. Для выполнения операции нажмите кнопку "Удалить", для отмены операции и закрытия модального окна нажмите кнопку "Отмена" или "".

7.3.7.1.1 Создание нового сервера

Для создания нового сервера нажмите на кнопку "Создать новый", расположенную слева под названием открытого раздела "RADIUS". Откроется страница для создания нового RADIUS-сервера.

Информация на странице "Новый RADIUS-сервер" заполняется аналогичным образом, как в п. 7.3.7.1.2 "Просмотр и изменение настроек сервера".

После того как данные будут заполнены, нажмите кнопку "Создать новый". Появится модальное окно "Новый сервер создан" с информацией о том, что новый сервер успешно создан (для возвращения в скроллер нажмите кнопку "Вернуться к списку").

Если при создании сервера были допущены ошибки, это говорит о том, что не все обязательные для заполнения поля были заполнены (при нажатии на кнопку "Создать новый" система проинформирует Вас об этом, выделив пустые или неправильно заполненные поля красным цветом).

7.3.7.1.2 Просмотр и изменение настроек сервера

Для просмотра и изменения настроек сервера:

  1. Нажмите на кнопку изменить "", расположенную справа напротив названия сервера и его IP-адреса.
  2. Откроется страница "Редактирование" для внесения изменений в настройки сервера.

Настройки RADIUS-сервера заполняются следующим образом:

  • В поле "Имя" введите имя RADIUS-сервера, которое будет отображаться на контроллере;
  • В поле "IP адрес" введите адрес RADIUS-сервера. Данный адрес должен быть доступен с хоста контроллера при использовании режима RADIUS Proxy (клиентом выступает контроллер) или общении контроллера с сервером напрямую, и доступен с точек доступа при использовании режима, когда клиентами выступают точки доступа;
  • Ползунок "Включен" служит для включения или выключения работы RADIUS-клиентов с сервером;
  • В поле "Приватный ключ" введите ключ аутентификации и шифрования для доступа к RADIUS-серверу;
  • В поля "Порт авторизации", "Порт аккаунтинга" и "Порт CoA" введите порты, используемые на сервере для сообщений авторизации, аккаунтинга и CoA соответственно;
  • В поле "Таймаут ожидания ответа" введите время в секундах, в течение которого точками или контроллером будет ожидаться ответ от сервера, и при истечении данного времени будет отправляться повторный запрос;
  • В поле "Число попыток ответа" введите количество попыток повторной отправки запроса, которое требуется производить если сервер не отвечает на запрос;
  • В поле "Интервал периодических обновлений" введите время в секундах, которое будет использоваться RADIUS-клиентом для отправки сообщений аккаунтинга;
  • В поле "Идентификатор NAS" введите строку, которая будет передаваться в запросе RADIUS-клиентом в поле NAS-Identifier.
    • Данное значение будет использоваться в случае, если параметр не переопределен в настройках групп, использующих данный сервер (см. 7.3.2.1 Параметры группы);
    • Если параметр не задан, то он не будет задаваться в запросах к серверу при режиме работы с сервером, когда контроллер выступает клиентом (прокси),. При варианте настройки, когда точки выступают клиентами и данный параметр не задан в настройках сервера или группы точек, то они будут передавать в атрибуте NAS-Identifier значение MAC адреса подключаемого клиента.
  • Ползунок "Отправлять адрес точки доступа" определяет, будет ли RADIUS-серверу отправляться IP-адрес точки доступа в режиме, когда клиентом выступает контроллер;
  • Радио-бокс "Клиентом будет" определяет, кто будет выступать клиентом для RADIUS-сервера:
    • Контроллер - клиентом будет выступать контроллер, и RADIUS сообщения от точек доступа будут либо проксироваться через него, либо генерироваться самим контроллером на основании метрик и сообщений, полученных от точек доступа. Для работы данной опции необходим включенный на контроллере функционал RADIUS Proxy (см. 7.5.1 Настройки);
    • Точки доступа - клиентами будут выступать точки доступа, и они будут общаться с RADIUS-сервером напрямую;

  • Ползунок "Периодическая проверка доступности" позволяет включить функционал проверки доступности и работы сервера контроллером. На основании проверки серверу будет автоматически выставляться статус его доступности, который используется для работы групп RADIUS серверов. При включении опции ниже будут доступны для настройки следующие параметры:
    • "Частота проверки" - время в секундах, как часто будет проверяться доступность данного сервера;
    • "Логин" и "Пароль" - логин и пароль для аутентификации на сервере для его проверки;

Рекомендуется настраивать для каждого сервера периодическую проверку для получения событий или алертов в случае недоступности RADIUS сервера, а также для правильной работы RADIUS групп, если данный функционал используется.

Для сохранения изменений, внесённых в конфигурацию сервера, нажмите кнопку "Сохранить изменения".

Кнопка "Статистика" служит для быстрого перехода в раздел просмотра статистики по данному RADIUS серверу (см. раздел 7.4.7 RADIUS).

Также для сервера имеется функционал проверки соединения с сервером и его работы, который доступен по кнопке "Проверить". Для проверки соединения сервера нажмите кнопку "Проверка", после этого появится модальное окно "Проверить соединение", в котором необходимо указать:

  • метод запроса, установив чек-бокс "" напротив выбранного значения: "PAP" или "EAP-PEAP/MSCHAPv2";
  • логин и пароль сервера, заполнив данные вручную.

Для выполнения проверки соединения сервера нажмите кнопку "Проверить", для отмены операции и закрытия модального окна нажмите кнопку "Отмена" или "".

При успешном выполнении проверки об этом будет написано в окне проверки с указанием тайминга ответа на запрос аутентификации.

7.3.7.2 Группы RADIUS серверов

Группы RADIUS серверов предназначены для реализации функционала failover и балансировки нагрузки между серверами.

Список групп серверов представлен в виде таблицы, каждая группа имеет следующие элементы:

  • название группы;
  • названия серверов, входящих в данную группу, с указанием веса для каждого сервера, а также выделением текущего активного сервера группы зеленым цветом. В режиме балансировки (когда имеется несколько серверов с одинаковым весом) зеленым будут выделены все доступные серверы;
  • кнопка для изменения настроек групп;
  • кнопка для удаления группы.

Для изменения настроек группы нажмите на кнопку "", откроется страница для внесения изменений в настройки выбранной группы (см. раздел 7.3.7.2.2 Создание или изменение группы серверов). 

Для удаления группы из базы данных нажмите на кнопку "", откроется модальное окно для подтверждения операции удаления. Для выполнения операции нажмите кнопку "Удалить", для отмены операции и закрытия модального окна нажмите кнопку "Отмена" или "".

7.3.7.2.1 Принцип работы

При создании группы серверов все запросы на сервера группы будут производиться контроллером (в режиме проксирования или генерироваться им самим) независимо от того, что настроено для каждого сервера в его настройках (параметр "клиентом будет"), это необходимо для правильной работы режима failover и балансировки клиентов между серверами.

Контроллер имеет функционал автоматической установки статуса доступности сервера, который работает следующим образом:

  • Статус сервера выставляется в "недоступен" если:
    • В течение 5 секунд сервер не ответил на как минимум 2 запроса авторизации (проксированных или сгенерированных контроллером);
    • Как минимум 2 периодические проверки доступности завершились неудачей;
  • Статус сервера выставляется в "доступен" если:
    • Получен ответ на запросы клиентов от сервера, если он настроен для какого-либо SSID отдельно и в его настройках параметр "клиентом будет" выставлен в "контроллер", либо запрос сгенерирован самим контроллером если сервер используется для гостевой авторизации;
    • Как минимум 2 периодические проверки доступности прошли удачно.

Данный функционал используется для работы балансировки и режима failover, при варианте настройки отдельного сервера на SSID запросы все равно будут направляться на него, даже если он недоступен.

Котроллер работает с группой серверов в следующих режимах:

  • Режим failover: при настройке группы с разными весами серверов, контроллер автоматически определяет текущий доступный сервер с наивысшим весом и направляет запросы на данный сервер;
  • Режим балансировки: при настройке группы с одинаковыми весами серверов, контроллер будет использовать режим балансировки нагрузки и направлять клиентов на доступные сервера с одинаковым весом на основании их MAC адреса (деление числа MAC адреса на количество доступных серверов). Контроллер также хранит таблицу "MAC адрес - сервер" (таблица хранится в памяти до перезапуска контроллер) и направляет каждого клиента на тот сервер, куда он направлялся изначально. При ситуации, когда один из серверов стал недоступен или наоборот стал доступен (после удачной периодической проверки или успешного получения ответов от него), запросы автоматически перераспределяются на доступные сервера;

Если все сервера в группе имеют статус "недоступен", то контроллер будет отправлять запросы на любой из серверов группы.

7.3.7.2.2 Создание или изменение группы серверов

Для создания группы RADIUS серверов нажмите кнопку "Создать новую группу", после этого откроется страница "Новая группа RADIUS-серверов".

На странице представлены следующие параметры для настройки:

  • Имя группы;
  • Список серверов группы:
    • Имя сервера;
    • Вес сервера в группе.

Для добавления сервера в группу нажмите кнопку "Добавить сервер", после этого в список серверов добавится новый пустой элемент сервера. Для каждого элемента сервера в группе выберите RADIUS сервер из списка и задайте ему вес.

Для удаления сервера из группы нажмите на иконку с крестиком справа сверху от элемента сервера.

После задания параметров всех серверов группы сохраните изменения, нажав кнопку "Сохранить".

7.3.7.3 Механизм фильтрации

Механизм фильтрации позволяет просмотреть список серверов, отвечающих заданному фильтру по его критериям.

Для поиска сервера из списка используется два вида фильтров:

  • быстрый фильтр;
  • расширенный фильтр.

7.3.7.3.1 Быстрый фильтр

Для использования быстрого фильтра нажмите на поисковую строку со знаком "", расположенную справа под названием открытого раздела "RADIUS". Поисковая строка содержит один элемент поиска: "IP адрес".

Для выполнения поиска:

  1. Пропишите в поисковой строке интересующий Вас IP-адрес сервера или его часть.
  2. Веб-интерфейс автоматически найдет совпадения в наименовании IP-адреса и отобразит найденные варианты в таблице.

7.3.7.3.2 Расширенный фильтр

Расширенный фильтр дает возможность выполнить фильтрацию серверов по выбранным параметрам. Для открытия расширенного фильтра нажмите кнопку "", расположенную справа напротив названия открытого раздела "RADIUS". Откроется модальное окно "Фильтр по RADIUS" со списком параметров для выполнения фильтрации.

Выберите интересующие Вас параметры и заполните (при необходимости) информацию по ним следующим образом:

  • для параметра "По IP" введите вручную информацию в строке "IP адрес";
  • для параметра "Включен" установите чек-бокс "" напротив выбранного значения (по умолчанию выбран параметр "Не важно");
  • для параметра "Кол-во элементов в списке" нажмите на выбранное количество элементов (по умолчанию выбрано значение "10").

Для автоматической настройки выбранных параметров нажмите кнопку "Применить", для закрытия модального окна нажмите "".

  • No labels