Общие сведения
Разделяемый секрет RADIUS — это ключ, используемый для аутентификации и шифрования между RADIUS-сервером и RADIUS-клиентом.
Пароль хранится в виде хэш-значения в таблицах RADIUS Proxy и RADIUS-сервера. Когда клиент отправляет запрос на аутентификацию, он включает общий секрет в запрос в зашифрованном виде, используя алгоритм хэширования, который был предварительно согласован между клиентом и сервером. Сервер использует тот же алгоритм для расшифровки и проверки общего секрета. Если секреты совпадают, сервер авторизует клиента. Если они не совпадают, сервер отклоняет запрос. Таблицы хранения общего секрета используются для безопасного хранения паролей и обеспечения аутентификации клиентов в протоколе RADIUS.
Целью использования разделяемого секрета является обеспечение безопасности и защиты локальной сети от несанкционированного доступа.
Настройка разделяемого секрета RADIUS
Использование разделяемого секрета доступно для приложений, использующих IP-адреса сервера сетевого доступа в качестве идентификатора. Переход на вкладку управления секретами RADIUS осуществляется нажатием на "Разделяемые секреты RADIUS" в режиме "Сервис" или в разделе "Настройки" профиля RADIUS-приложения (графическое обозначение в реестре приложений). Вкладка содержит реестр секретов со следующими данными:
- Наименование;
- Диапазон адресов.
Для добавления нового секрета следует нажать "Добавить"
Таблица – Описание настроек атрибутов разделяемого секрета RADIUS
Атрибут | Настройка |
---|---|
Имя клиента | Ввести имя клиентского приложения. |
Диапазон адресов | Определить диапазон IP-адресов по типу: 10.10.17.108/32, где 10.10.17.108 – адрес NAS, а /32 – маска подсети, используемая для определения границ диапазона IP-адресов. В случае пересечения диапазона IP-адресов с другим разделяемым секретом или некорректности ввода адреса появится предупреждение. |
Смена общего секрета | Задать секретный ключ (см. Общие требования к разделяемому секрету) |
Для удаления секрета необходимо нажать
в профиле данного секрета.Для редактирования секрета необходимо нажать
Общие требования к разделяемому секрету
Длина: Рекомендуется использовать длинный секретный ключ, состоящий как минимум из 22 символов.
Максимальное количество символов в распределяемом секрете RADIUS зависит от конкретной реализации RADIUS-сервера и клиентских устройств.
- Сложность: Рекомендуется использовать сочетание букв верхнего и нижнего регистров, цифр и специальных символов.
- Надежность: Секретный ключ должен быть известен только тем устройствам, которые используют его для аутентификации. Разделяемый секрет должен периодически обновляться для предотвращения возможных утечек.
Сценарий использования
Администратор хочет настроить разделяемый секрет RADIUS для приложения OpenVPN. Для этого ему необходимо совершить следующие действия:
- Перейти в профиль приложения, найдя приложение OpenVPN в реестре режима "Приложения" (можно ввести название приложение в строку поиска).
- Войти в раздел "Настройки" профиля приложения (Рисунок) и установить флажок "IP адрес как идентификатор" [1].
- Установить адрес сервера сетевого доступа (NAS IP), если он не определен [2].
- Перейти в раздел "Разделяемые секреты RADIUS" [3].
- Создать новый разделяемый секрет клиента RADIUS:
- Нажать "Добавить" в реестре секретов;
- Ввести название клиентского приложения "OpenVPN".
- Ввести диапазон IP-адресов.
- Ввести секрет в соответствии с требованиями.
- Нажать "Сохранить".
Рисунок – Окно настройки RADIUS-приложения