Модуль RADIUS
Сервер CommuniGate Pro поддерживает протокол аутентификации учёта пользователей RADIUS. Он может использоваться совместно с различными устройствами и программами NAS (серверами сетевого доступа).
Модуль RADIUS действует как сервер по протоколу RADIUS. Он получает запросы на авторизацию от RADIUS-клиентов (NAS), проверяет представленные полномочия и принимает или отвергает эти запросы.
Модуль RADIUS поддерживает следующие методы аутентификации:
PAP
CHAP
MS-CHAPv1
MS-CHAPv2
EAP
- MD5-Challenge
DIGEST-MD5
Модуль RADIUS может использовать программы — внешние помощники, в которых могут быть реализованы специфические правила и процедуры предоставления доступа (основывающиеся на атрибутах запросов RADIUS), а также возврат дополнительных атрибутов NAS.
Настройка модуля RADIUS
По умолчанию, модуль RADIUS в CommuniGate Pro не активирован.
CG/PL приложения могут взаимодействовать с удалёнными серверами RADIUS: они могут отправлять RADIUS-запросы и получать RADIUS-ответы. Чтобы включить функции клиента RADIUS, должен быть активирован модуль RADIUS.
Чтобы настроить параметры модуля RADIUS, используйте веб-интерфейс администратора. Откройте страницу “услуги” в разделе “установки”, затем откройте страницу “RADIUS”:
Уровень журнала
Используйте эту настройку для указания, какую информацию модуль RADIUS должен сохранять в журнале работы сервера. Обычно используется уровень “основное” или уровень “проблемы” (не фатальные ошибки). В случае, если в работе RADIUS модуля возникают проблемы, возможно, целесообразным будет увеличить детализацию до уровня “подробности” или “всё”: в этом случае в журнал работы сервера будет записываться более подробная информация о работе модуля.
Помещаемые в системный журнал сервера модулем RADIUS записи имеют метку “RADIUS”. Пожалуйста, обратите внимание, что RADIUS является двоичным протоколом, и все низкоуровневые данные представлены в шестнадцатеричной форме.
Приёмник
Откройте по этой ссылке страницу “приёмника UDP” и укажите номер порта и локальный сетевой адрес для услуги RADIUS и ограничения на доступ к этому порту. Если номер порта имеет значение 0, RADIUS сервер выключен.
По умолчанию RADIUS клиенты отправляют запросы на UDP-порт номер 1812.
Если на компьютере, на котором работает сервер, уже запущен какой-либо RADIUS-сервер, то вы можете указать нестандартный номер порта и перенастроить клиентское программное обеспечение RADIUS на использование этого номера порта.
Каналы
Используйте эту настройку для указания числа обработчиков (нитей), используемых для обработки RADIUS-запросов. Если вы установите эту настройку в значение 0, то все запросы будут обрабатываться непосредственно в нити (нитях) приёмника RADIUS.
Проверять NAS ID
Протокол RADIUS требует, чтобы все запросы содержали атрибут NAS-идентификатор или NAS-IP-адрес (или оба сразу). Если эта опция не выбрана, то запросы, не содержащие этих атрибутов, будут приниматься, а в качестве идентификатора в записях журнала работы сервера будет использоваться слово unknown.
Пароль
Используйте эту настройку для задания «общего секрета» RADIUS. Все клиенты RADIUS должны использовать один и тот же «общий секрет», чтобы иметь доступ к серверу RADIUS.
Записывать
Если эта опция включена, то модуль RADIUS сохраняет все запросы по учёту в текстовый файл. Дополнительную информацию смотрите ниже в разделе “журнал учёта”.
Аутентификация RADIUS
Модуль RADIUS принимает корректные «запросы на доступ» от клиентов RADIUS, получает атрибуты имя-пользователя и пароль-пользователя, а затем пытается найти указанного пользователя CommuniGate Pro и проверить его пароль. Если пароль может быть проверен, и как у пользователя, так и в его домене услуга RADIUS включена, то RADIUS-клиенту отправляется положительный ответ; в противном случае, будет отправлен отрицательный ответ и текст с кодом ошибки.
Если для указанного пользователя опция “пароль” включена, то модуль RADIUS проверяет, задана ли для этого пользователя настройка RADIUSPassword. Если она задана, то она будет использоваться вместо стандартной настройки пароль. Это возможность позволяет администратору устанавливать пользователю дополнительный пароль, который будет использоваться только при проведении RADIUS аутентификации.
Обратите внимание: аутентифицирующиеся через RADIUS клиенты не используют никакие сетевые адреса сервера, и поэтому пользователи не из главного домена должны явно указывать своё полное имя пользователя (account@domain) или указывать такое имя, которое будет перенаправлено в маршрутизаторе на конкретного пользователя. Из-за того, что для обработки атрибута имя-пользователя используется маршрутизатор, то для аутентификации могут также указываться псевдонимы пользователя. Дополнительную информацию смотрите в разделе “доступ”.
Внешние помощники
Сервер CommuniGate Pro может использовать программу — внешний помощник, в которой реализованы правила RADIUS для аутентификации. Эта программа должна быть создана вашим техническим персоналом.
Имя программы для внешней аутентификации и её дополнительные параметры задаются через веб-интерфейс администратора на странице “помощники”. Через веб-интерфейс администратора откройте в области “установки” страницу “помощники”:
Подробно эти опции описываются в разделе программы-помощники. Записи, помещаемые в системный журнал сервера модулем RADIUS, имеют пометку “RADIUS”.
Если внешние программы RADIUS не используются, то положительные ответы на запрос об авторизации отправляется сразу же после того, как пароль пользователя прошёл проверку. В ответе не содержится никаких дополнительных атрибутов.
Более подробная информация о создании собственных программ-помощников RADIUS находится в разделе “помощники”.
С примером внешних RADIUS программ можно ознакомиться на сайте CommuniGate Systems в разделе “помощники RADIUS”.
Журнал учета
Если опция “записывать” включена, то все операции RADUIS записываются в текстовый файл журнала учёта RADIUS. Файлы журнала учёта информации хранятся в поддиректории RADIUSLog.
В системах с одним сервером директория RADIUSLog создаётся внутри директории данных поддиректории Settings.
В системах с динамическим кластером директория RADIUSLog создаётся внутри директории SharedDomains в поддиректории Settings.
Каждый файл журнала учёта RADIUS имеет имя yyyy-mm-dd (где yyyy — текущий год, mm — месяц, а dd — число месяца) и расширение log. Новый файл создаётся в полночь по местному времени.
Каждая запись в журнале учёта информации RADIUS является текстовой строкой, в которой содержится отметка о времени, тип операции или команды (started, ended, updated, inited, stopped) и, дополнительно, имя пользователя.
В оставшейся части строки содержатся запрошенные атрибуты.
Каждый атрибут хранится с использованием цифрового типа атрибута, знака равно (=) и значения атрибута.
Значение атрибутов кодируются в той же кодировке, которая применяется в словарях, используемых в интерфейсе внешнего помощника RADIUS.