Общие сведения
Разделяемый секрет RADIUS — это ключ, используемый для аутентификации и шифрования между RADIUS-сервером и RADIUS-клиентом.
Пароль хранится в виде хэш-значения в таблицах RADIUS Proxy и RADIUS-сервера. Когда клиент отправляет запрос на аутентификацию, он включает общий секрет в запрос в зашифрованном виде, используя алгоритм хэширования, который был предварительно согласован между клиентом и сервером. Сервер использует тот же алгоритм для расшифровки и проверки общего секрета. Если секреты совпадают, сервер авторизует клиента. Если они не совпадают, сервер отклоняет запрос. Таблицы хранения общего секрета используются для безопасного хранения паролей и обеспечения аутентификации клиентов в протоколе RADIUS.
Целью использования разделяемого секрета является обеспечение безопасности и защиты локальной сети от несанкционированного доступа.
Настройка разделяемого секрета RADIUS
Настройки разделяемого секрета производятся в административной консоли системы Avanpost FAM для приложений типа RADIUS (Рисунок).
Рисунок – Обозначение RADIUS-приложения в списке приложений
- Для определения общего секрета между клиентом и сервером по протоколу RADIUS с помощью IP-адреса запроса в настройках нужного RADIUS-приложения установить флажок "IP адрес как идентификатор" [1].
- Установить адрес сервера сетевого доступа (NAS IP), если он не определен [2].
- Перейти в раздел "Разделяемые секреты RADIUS" [3], создать новый разделяемый секрет клиента RADIUS и выполнить настройки (Рисунок) в соответствии с Таблицей.
Рисунок – Окно настройки RADIUS-приложения
Рисунок – Окно настройки разделяемого секрета RADIUS
Таблица – Описание настроек атрибутов разделяемого секрета RADIUS
Атрибут | Настройка |
|---|---|
| Имя клиента | Ввести имя клиента. |
| Диапазон адресов | Определить диапазон IP-адресов по типу: 10.10.17.108/32, где 10.10.17.108 – адрес NAS, а /32 – маска подсети, используемая для определения границ диапазона IP-адресов. |
| Смена общего секрета | Задать секретный ключ (см. Общие требования к разделяемому секрету) |
Общие требования к разделяемому секрету:
Длина: Рекомендуется использовать длинный секретный ключ, состоящий как минимум из 22 символов.
Максимальное количество символов в распределяемом секрете RADIUS зависит от конкретной реализации RADIUS-сервера и клиентских устройств.
- Сложность: Рекомендуется использовать сочетание букв верхнего и нижнего регистров, цифр и специальных символов.
- Надежность: Секретный ключ должен быть известен только тем устройствам, которые используют его для аутентификации. Разделяемый секрет должен периодически обновляться для предотвращения возможных утечек.