CommuniGate Pro: Модуль RADIUS
версія 6.2
Сервер CommuniGate Pro підтримує протокол аутентифікації обліку користувачів RADIUS. Він може використовуватися спільно з різними пристроями і програмами NAS (Серверами Мережевого Доступу).
Модуль RADIUS діє як сервер по протоколу RADIUS. Він отримує запити на авторизацію від RADIUS-клієнтів (NAS), перевіряє подані повноваження і приймає або відкидає ці запити.
Модуль RADIUS підтримує такі методи аутентифікації:- PAP
- CHAP
- MS-CHAPv1
- MS-CHAPv2
- EAP
- DIGEST-MD5
Модуль RADIUS може використовувати програми - Зовнішні Помічники, в яких можуть бути реалізовані специфічні правила і процедури надання доступу (що грунтуються на атрибутах запитів RADIUS), а також повернення додаткових атрибутів NAS.
За замовчуванням, модуль RADIUS в CommuniGate Pro не активований.
CG / PL додатки можуть взаємодіяти з віддаленими серверами RADIUS: вони можуть відправляти RADIUS-запити і отримувати RADIUS-відповіді. Щоб включити функції клієнта RADIUS, її потрібно активувати модуль RADIUS.
Щоб налаштувати параметри модуля RADIUS, використовуйте Веб Інтерфейс Адміністратора. Відкрийте сторінку Послуги в розділі Установки, потім відкрийте сторінку RADIUS: Рівень Журналу Використовуйте це налаштування для вказівки, яку інформацію модуль RADIUS повинен зберігати в Журналі роботи Сервера. Зазвичай використовується рівень Основне або рівень Проблеми (не фатальними помилки). У разі, якщо в роботі RADIUS модуля виникають проблеми, можливо, доцільним буде збільшити деталізацію до рівня Подробиці або Все: в цьому випадку в Журнал роботи Сервера буде записуватися більш докладна інформація про роботу модуля. Розміщені в Системний Журнал Сервера модулем RADIUS записи мають мітку RADIUS. Будь ласка, зверніть увагу, що RADIUS є двійковим протоколом, і все низькорівневі дані представлені в шістнадцятковій формі. Приймач Відкрийте за цим посиланням сторінку приймач UDP і вкажіть номер порту і локальний мережеву адресу для послуги RADIUS і обмеження на доступ до цього порту. Якщо номер порту має значення 0, RADIUS сервер вимкнений.За замовчуванням RADIUS клієнти відправляють запити на UDP порт номер 1812.
Якщо на комп'ютері, на якому працює Сервер, вже запущений будь-якої RADIUS сервер, то ви можете вказати нестандартний номер порту і переналаштувати клієнтське програмне забезпечення RADIUS на використання цього номера порту. Канали Використовуйте це налаштування для вказівки числа оброблювачів (ниток), використовуваних для обробки RADIUS-запитів. Якщо ви встановите цей параметр в значення 0, то всі запити будуть оброблятися безпосередньо в нитки (нитках) приймач RADIUS. Перевіряти NAS ID Протокол RADIUS вимагає, щоб всі запити містили атрибут NAS-Ідентифікатор або NAS-IP-Адреса (або обидва відразу). Якщо ця опція не вибрана, то запити, що не містять цих атрибутів, будуть прийматися, а в якості ідентифікатора в записах журналу операцій сервера буде використовуватися слово unknown. Пароль Використовуйте це налаштування для завдання "загального секрету" RADIUS. Всі клієнти RADIUS повинні використовувати один і той же "загальний секрет" для того, щоб мати доступ до сервера RADIUS. Записувати Якщо ця опція включена, то модуль RADIUS зберігає всі запити з обліку в текстовий файл. Додаткову інформацію дивіться нижче в розділі Журнал обліку .
Модуль RADIUS приймає коректні "Запити на Доступ" від клієнтів RADIUS, отримує атрибути Ім'я-Користувача і Пароль-Користувача, а потім намагається знайти зазначеного користувача CommuniGate Pro і перевірити його пароль. Якщо пароль може бути перевірений, і як у Користувача, так і в його домені Послуга RADIUS включена, то RADIUS клієнту відправляється позитивну відповідь; в іншому випадку, буде відправлений негативну відповідь і текст з кодом помилки.
Якщо для зазначеного Користувача опція Пароль включена, то модуль RADIUS перевіряє, задана чи для цього Користувача настройка RADIUSPassword. Якщо вона задана, то вона буде використовуватися замість стандартної настройки Пароль. Це можливість дозволяє Адміністратору встановлювати Користувачеві додатковий пароль, який буде використовуватися тільки при проведенні RADIUS аутентифікації.
Зверніть Увага: аутентифицирующей через RADIUS клієнти не використовують ніякі мережеві адреси сервера і тому користувачі не з Головного Домену повинні явно вказувати своє повне ім'я Користувача (account @ domain) або вказувати таке ім'я, яке буде перенаправлено в маршрутизаторі на конкретного Користувача. Через те, що для обробки атрибута Ім'я-Користувача використовується Маршрутизатор, то для аутентифікації можуть також вказуватися псевдоніми користувача. Додаткову інформацію дивіться в розділі доступ .
Сервер CommuniGate Pro може використовувати програму - Зовнішній Помічник, в якій реалізовані правила RADIUS для аутентифікації. Ця програма повинна бути створена вашим технічним персоналом.
Ім'я програми для Зовнішньої Аутентифікації і її додаткові параметри задаються через Веб Інтерфейс Адміністратора на сторінці Помічники. Через Веб Інтерфейс Адміністратора відкрийте в області Установки сторінку Помічники:Детально ці опції описуються в розділі Програми-Помічники . Адреса, на яку в Системний Журнал Сервера модулем RADIUS, мають позначку RADIUS.
Якщо Зовнішні програми RADIUS не використовуються, то позитивні відповіді на запит про авторизацію відправляється відразу ж після того, як пароль користувача пройшов перевірку. У відповіді не міститься ніяких додаткових атрибутів.
Більш детальна інформація про створення власних програм-помічників RADIUS знаходиться в розділі помічники .
З прикладом зовнішніх RADIUS програм можна ознайомитися на сайті CommuniGate Systems в розділі помічники RADIUS .
Якщо опція Записувати включена, то всі операції RADUIS записуються в текстовий файл Журналу обліку RADIUS. Файли Журналу обліку інформації зберігаються в піддиректорії RADIUSLog.
У системах з одним сервером директорія RADIUSLog створюється всередині директорії даних піддиректорії Settings.
У системах з динамічним Кластером директорія RADIUSLog створюється всередині директорії SharedDomains в піддиректорії Settings.
Кожен файл Журналу обліку RADIUS має ім'я yyyy - mm - dd (де yyyy - поточний рік, mm - місяць, а dd - число місяця) і розширення log. Новий файл створюється опівночі за місцевим часом.
Кожен запис в Журналі обліку інформації RADIUS є текстовим рядком, в якій міститься позначка про час, тип операції або команди (started, ended, updated, inited, stopped) і, додатково, ім'я користувача.
У решти рядки містяться запитані атрибути.
Кожен атрибут зберігається з використанням цифрового типу атрибута, знака рівності (=) і значення атрибута.
Значення атрибутів кодуються в тій же кодуванні, яка застосовується в словниках, використовуваних в інтерфейсі Зовнішнього Помічника RADIUS .
Керівництво CommuniGate® Pro. Copyright © 1998-2019, Stalker Software, Inc.
