Avanpost FAM/MFA+ : 5.3.1.1. Настройка разделяемых секретов RADIUS

Общие сведения

Разделяемый секрет RADIUS это ключ, используемый для аутентификации и шифрования между RADIUS-сервером и RADIUS-клиентом.

Пароль хранится в виде хэш-значения в таблицах RADIUS Proxy и RADIUS-сервера. Когда клиент отправляет запрос на аутентификацию, он включает общий секрет в запрос в зашифрованном виде, используя алгоритм хэширования, который был предварительно согласован между клиентом и сервером. Сервер использует тот же алгоритм для расшифровки и проверки общего секрета. Если секреты совпадают, сервер авторизует клиента. Если они не совпадают, сервер отклоняет запрос. Таблицы хранения общего секрета используются для безопасного хранения паролей и обеспечения аутентификации клиентов в протоколе RADIUS.

Целью использования разделяемого секрета является обеспечение безопасности и защиты локальной сети от несанкционированного доступа.

Настройка разделяемого секрета RADIUS

Использование разделяемого секрета доступно для приложений, использующих IP-адреса сервера сетевого доступа в качестве идентификатора. Переход на вкладку управления секретами RADIUS осуществляется нажатием на "Разделяемые секреты RADIUS" в режиме "Сервис" или в разделе "Настройки" профиля RADIUS-приложения (графическое обозначение  в реестре приложений). Вкладка содержит реестр секретов со следующими данными:

  • Наименование;
  • Диапазон адресов.

Для добавления нового секрета следует нажать "Добавить"

Таблица – Описание настроек атрибутов разделяемого секрета RADIUS

Атрибут 

Настройка
Имя клиентаВвести имя клиентского приложения.
Диапазон адресов

Определить диапазон IP-адресов по типу:

10.10.17.108/32,

где 10.10.17.108 – адрес NAS, а /32 – маска подсети, используемая для определения границ диапазона IP-адресов.

В случае пересечения диапазона IP-адресов с другим разделяемым секретом или некорректности ввода адреса появится предупреждение.

Смена общего секретаЗадать секретный ключ (см. Общие требования к разделяемому секрету)

Для удаления секрета необходимо нажать в профиле данного секрета. 

Для редактирования секрета необходимо нажать  в профиле секрета. После внесения изменений следует нажать "Сохранить" для сохранения или "Отмена" для выхода без сохранения изменений.

Общие требования к разделяемому секрету

  • Длина: Рекомендуется использовать длинный секретный ключ, состоящий как минимум из 22 символов. 

    Максимальное количество символов в распределяемом секрете RADIUS зависит от конкретной реализации RADIUS-сервера и клиентских устройств.

  • Сложность: Рекомендуется использовать сочетание букв верхнего и нижнего регистров, цифр и специальных символов. 
  • Надежность: Секретный ключ должен быть известен только тем устройствам, которые используют его для аутентификации. Разделяемый секрет должен периодически обновляться для предотвращения возможных утечек. 


Сценарий использования

Администратор хочет настроить разделяемый секрет RADIUS для приложения OpenVPN. Для этого ему необходимо совершить следующие действия:

  1. Перейти в профиль приложения, найдя приложение OpenVPN в реестре режима "Приложения" (можно ввести название приложение в строку поиска).
  2. Войти в раздел "Настройки" профиля приложения (Рисунок) и установить флажок "IP адрес как идентификатор" [1].
  3. Установить адрес сервера сетевого доступа (NAS IP), если он не определен [2].
  4. Перейти в раздел "Разделяемые секреты RADIUS" [3].
  5. Создать новый разделяемый секрет клиента RADIUS:
    1. Нажать "Добавить" в реестре секретов;
    2. Ввести название клиентского приложения "OpenVPN".
    3. Ввести диапазон IP-адресов.
    4. Ввести секрет в соответствии с требованиями.
    5. Нажать "Сохранить".

Рисунок – Окно настройки RADIUS-приложения



Обсуждение