CommuniGate Pro
Версия 5.2
Услуги
 
 
RADIUS

Модуль RADIUS

Сервер CommuniGate Pro поддерживает метод аутентификации пользователей и протокол учёта информации RADIUS. Он может использоваться совместно с различными устройствами и программами NAS (Серверами Сетевого Доступа).

Модуль RADIUS действует как RADIUS сервер. Он получает запросы на авторизацию от RADIUS-клиентов (NAS), проверяет представленные полномочия и принимает или отвергает эти запросы.

Модуль RADIUS поддерживает следующие методы аутентификации:

  • PAP
  • CHAP
  • MS-CHAPv1
  • MS-CHAPv2
  • EAP
    • MD5-Challenge
  • DIGEST-MD5

Модуль RADIUS может использовать программы - Внешние Помощники, в которых может быть реализованы специфические правила и процедуры предоставления доступа (основывающиеся на атрибутах запросов RADIUS), а также возврат дополнительных атрибутов в NAS.

Конфигурирование Модуля RADIUS

По умолчанию, модуль RADIUS в CommuniGate Pro не активирован.

CG/PL приложения могут взаимодействовать с удалёнными серверами RADIUS: они могут отправлять RADIUS-запросы и получать RADIUS-ответы. Для того, что бы включить функции клиента RADIUS, должен быть активирован модуль RADIUS.

Для того, что бы настроить параметры модуля RADIUS, используйте Веб Интерфейс Администратора. Откройте страницу Услуги в области Установки, затем откройте страницу RADIUS:

Обработка
Уровень Журнала: Приёмник
Пароль: Проверять NAS ID
Каналы: Записывать
Уровень Журнала
Используйте эту настройку для того, что бы указать, какую информацию модуль RADIUS должен сохранять в Журнале работы Сервера. Обычно используется уровень Основные или уровень Проблемы (не фатальные ошибки). В случае, если в работе RADIUS модуля возникают проблемы, возможно, целесообразным будет увеличить детализацию до уровня Подробности или Всё: в этом случае в Журнал работы Сервера будет записываться более подробная информация о работе модуля.

Записи, помещаемые в Системный Журнал Сервера модулем RADIUS, имеют метку RADIUS. Пожалуйста, обратите внимание, что RADIUS является двоичным протоколом, и все низкоуровневые данные представлены в шестнадцатеричной форме.

Приёмник
Откройте по этой ссылке страницу Приёмника UDP и укажите номер порта, локальный сетевой адрес для услуги RADIUS и ограничения на доступ к этому порту. Если номер порта имеет значение 0, RADIUS сервер выключен.
По умолчанию RADIUS клиенты отправляют запросы на UDP порт номер 1812.
Если на компьютере, на котором работает Сервер, уже запущен какой-либо RADIUS сервер, то вы можете указать нестандартный номер порта и перенастроить клиентское программное обеспечение RADIUS на использование этого номера порта.
Каналы
Используйте эту настройку для указания числа обработчиков (нитей), используемых для обработки RADIUS-запросов. Если вы установите эту настройка в значение 0, то все запросы будут обрабатываться непосредственно в нити (нитях) Приёмника RADIUS.
Проверять NAS ID
Протокол RADIUS требует, что бы все запросы содержали атрибут NAS-Идентификатор или NAS-IP-Адрес (или оба сразу). Если эта опция не выбрана, то запросы, не содержащие этих атрибутов будут приниматься, а в качестве идентификатора в записях Журнала работы сервера будет использоваться слово unknown.
Пароль
Используйте эту настройку для задания "общего секрета" RADIUS. Все клиенты RADIUS должны использовать один и тот же "общий секрет" для того, что бы иметь доступ к серверу RADIUS.
Записывать
Если эта опция включена, то модуль RADIUS сохраняет все запросы по учёту информации в текстовый фай. Дополнительную информацию смотрите ниже в разделе Журнал учёта информации.

Аутентификация RADIUS

Модуль RADIUS принимает корректные "Запросы на Доступ" от клиентов RADIUS, получает атрибуты Имя-Пользователя и Пароль-Пользователя, а затем пытается найти указанного Пользователя CommuniGate Pro и проверить его пароль. Если пароль может быть проверен, и как у Пользователя, так и в его Домене Услуга RADIUS включена, то RADIUS клиенту отправляется положительный ответ; в противном случае, будет отправлен отрицательный ответ и текст с кодом ошибки.

Если для указанного Пользователя опция Пароль включена, то модуль RADIUS проверяет, задана ли для этого Пользователя настройка RADIUSPassword. Если она задана, то она будет использоваться вместо стандартной настройки Пароль. Это возможность позволяет Администратору устанавливать Пользователю дополнительный пароль, который будет использоваться только при проведении RADIUS аутентификации.

Обратите Внимание: клиенты, аутентифицирующиеся через RADIUS, не используют никакие сетевые адреса сервера и поэтому пользователи не из Главного Домена должны явно указывать своё полное имя Пользователя (account@domain) или указывать такое имя, которое будет перенаправлено в Маршрутизаторе на конкретного Пользователя. Из-за того, что для обработки атрибута Имя-Пользователя используется Маршрутизатор, то для аутентификации могут также указываться псевдонимы пользователя. Дополнительную информацию смотрите в разделе Доступ.


Внешние Помощники

Сервер CommuniGate Pro может использовать программу - Внешнего Помощника, в которой реализованы правила RADIUS для аутентификации. Эта программа должна быть создана вашим техническим персоналом.

Имя программы для Внешней Аутентификации и её дополнительные параметры задаются через Веб Интерфейс Администратора на странице Помощники. Через Веб Интерфейс Администратора откройте в области Установки страницу Помощники:

Фильтрация Данных
Уровень Журнала: Путь к Программе:
Тайм-аут: Авторестарт:

Подробно эти опции описываются в разделе Программы-Помощники. Записи, помещаемые в Системный Журнал Сервера модулем RADIUS, имеют пометку RADIUS.

Если Внешние программы RADIUS не используются, то положительные ответ на запрос об авторизации отправляется сразу же после того, как пароль пользователя прошёл проверку. В ответе не содержится никаких дополнительных атрибутов.

Более подробная информацию о создании собственных программ для Внешней Аутентификации находится в разделе Помощники.

С примером внешних RADIUS программ и скриптов для Внешней Аутентификации можно ознакомиться на сайте CommuniGate Systems в разделе Помощники RADIUS.


Журнал учёта информации

Если опция Записывать включена, то все операции RADUIS записываются в текстовый файл Журнала учёта информации RADIUS. Файлы Журнала учёта информации хранятся в поддиректории RADIUSLog.

В системах с одним сервером директория RADIUSLog создаётся внутри директории данных поддиректории Settings.
В системах с
Динамическим Кластером директория RADIUSLog создаётся внутри директории SharedDomains в поддиректории Settings.

Каждый файл Журнала учёта информации RADIUS имеет имя yyyy-mm-dd (где yyyy - текущий год, mm - месяц, а dd - число месяца) и расширение log. Новый файл создаётся в полночь по местному времени.

Каждая запись в Журнале учёта информации RADIUS является текстовой строкой, в которой содержится отметка о времени, тип операции или команды (started, ended, updated, inited, stopped) и, дополнительно, имя пользователя.
В оставшейся части строки содержатся запрошенные атрибуты.
Каждый атрибут хранится с использованием цифрового типа атрибута, знака равно (=) и значения атрибута.
Значение атрибутов кодируются в той же кодировке, которая применяется в словарях, используемых в Интерфейсе Внешнего Помощника RADIUS.


Руководство CommuniGate® Pro. Copyright © 1998-2009, Stalker Software, Inc.