Avanpost FAM/MFA+ : 5.3.1.2. Настройка словарей RADIUS VSA (Vendor-Specific Attribute) для RADIUS-приложений

Общие сведения

Управление RADIUS-приложениями предполагает возможность управления их специфическими атрибутами. Описание каждого RADIUS-пакета состоит из описания атрибутов (Attribute) и их значений (Value Pair) для данного типа пакета. Атрибуты могут быть как стандартными, так и специфичными атрибутами вендоров VSA (Vendor-Specific Attribute). VSA применяются совместно со стандартными атрибутами RADIUS.

Атрибуты вендоров определяются вендорами серверов удаленного доступа и позволяют провести дополнительную настройку RADIUS-приложений. Использование Vendor Specific-атрибутов позволяет предоставлять пользователям несколько типов прав доступа. Атрибуты вендоров не являются обязательными, кроме случаев когда VSA необходимо добавить в файл словаря для обеспечения правильной работы аппаратного обеспечения.

Описание Vendor-Specific Attribute имеет вид: "Имя атрибута(Номер атрибута): Имя вендора(Номер вендора): Имя VSA: Значение VSA", где:

Название атрибутаЗначение атрибута
Имя атрибутаVendor-Specific - для любых VSA.
Номер атрибута26 - для любых VSA.
Имя вендораНазвание вендора - Рекомендуются названия из документа “PRIVATE ENTERPRISE NUMBERS”.
Номер вендора

Номер вендора, присвоенный организацией IANA в документе “PRIVATE ENTERPRISE NUMBERS”.

Имя VSA

Имя атрибута вендора

Значение VSA

Значение атрибута вендора

Файл стратегии прав доступа, расположенный на RADIUS-сервере, содержит список атрибутов пакета Access-Request, проверяющихся, когда клиент направляет запрос Access-Request к серверу. В случае, когда отправленный пользователем Access-Request не содержит атрибуты, перечисленные в файле стратегии прав доступа, сервер сообщает пользователю о запрете доступа пакетом Access-Reject.

Для того, чтобы в запросе RADIUS-приложения Access-Request, направляемом к серверу, содержались необходимые атрибуты, требуется:

  • настройка словарей RADIUS VSA в соответствии с требованиями вендоров аппаратного обеспечения, используемых приложениями;
  • добавление в приложения необходимых VSA из настроенных словарей RADIUS VSA.

Настройки словарей RADIUS VSA

Настройки словаря доступны во вкладке "Словари RADIUS VSA" режима "Сервис". Вкладка содержит реестр словарей атрибутов вендоров со следующую информацию и возможности:

  • Наименование вендора - Нажать, чтобы редактировать существующий словарь;
  • Код вендора.
  • Кнопка "Добавить" - Нажать, чтобы перейти во вкладку добавления нового словаря.

При нажатии кнопки "Добавить" открывается вкладка добавления словаря RADIUS VSA с настройкой следующих параметров:

Название параметраОписание
Имя вендораНазвание вендора - Рекомендуются названия из документа “PRIVATE ENTERPRISE NUMBERS”.
ОписаниеОписание вендора, которое допускается добавить для удобства.
Код вендораНомер вендора, присвоенный организацией IANA в документе “PRIVATE ENTERPRISE NUMBERS”.
Атрибуты вендора

 Vendor Specific-атрибуты, настраиваемые для данного вендора. Для добавления нового атрибута следует нажать .  Атрибутам присваиваются следующие значения:

  • Имя - Имя атрибута VSA в соответствии со спецификацией вендора;
  • Код - Код атрибута VSA в соответствии со спецификацией вендора;
  • Тип - Тип атрибута VSA в соответствии со спецификацией вендора. Выбирается из выпадающего списка:
    • integer - Целое число;
    • string - Произвольная строка;
    • octets - Произвольные бинарные данные;
    • ipaddr - IP-адрес, передаваемый в форме numeric (4 байта);
    • ipv6addr - IPv6-адрес;
  • Чекбокс "Множ. Знач":
    • При выключенном флажке серверу может передаваться только одно значение (например, только одна группа, в которой состоит пользователь, вне зависимости от того, состоит ли пользователь в нескольких группах);
    • При включенном флажке серверу может передаваться несколько значений (например, все группы, в которых состоит пользователь).

Для сохранения словаря VSA требуется нажать кнопку "Сохранить", чтобы отменить изменения - "Отмена".


Обсуждение