none
IAS 5.2 - невозможно добавить произвольный атрибут для проверки/отправки на NAS. RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти

    Всем доброго времени суток!

    I. Сперва приведу данные по оборудованию/ПО, на котором возникла проблема:

    1. Сеть из ~ 1100 Ethernet коммутаторов производства Huawei, L2+, на каждом имеется Radius клиент.

    2. MS Windows 2003 Server Enterprise Edition SP2 c установленой IAS 5.2 (Internet Authentication Service - Radius сервер).

    3. Пользователи, которые подключаются к коммутаторам по протоколу Telnet для конфигурирования.

    II. Поставлена задача:

    Реализовать схему, при использовании которой пользователи будут аутентифицироваться и авторизироваться на данных коммутаторах используя протокол Telnet. Коммутатор, как клиент Radius сервера, будет запрашивать у него ИмяПользвателя/Пароль, проверять соответствие IP адреса пользователя, присваивать пользователю уровень доступа к ресурсам кооммутатора.

    III. Что удалось сделать:

    1. Настроить аутентификацию и авторизацию пользователей. Причем с использованием доменных учетных записей.

    2. Присвоить пользователю уровень доступа к ресурсам коммутатора (использовал атрибут 26 - Vendor-Specific в сообщениях Access-Accept).

    IV. Что не удалось сделать:

    1. Проверка соответствия IP адреса пользователя его логину-паролю. IP адрес передается в поле Radius сообщения атрибутом 8 - Framed-IP-Address. Проверку этого атрибута невозможно включить в созданное правило в RemoteAccessPolicy-раздел IAS. Вопрос1: как включить проверку этого атрибута в политику удаленного доступа (RemoteAccessPolicy)? Его нет в списке проверяемых атрибутов.

    2. В обратном сообщении Access-Accept нужно отправлять несколько атрибутов с одинаковым id 15 - Login-Service. Он принимает три значения (послений октет) - 00,32,34 - соответственно определяется коммутатором как Telnet, Console и SSH. Удалось выставить только Telnet (т.к. значение было в заготовках RemoteAccessPolicy->PolicyName->Prop->Adwanced->Add->ServiceType) - соответственно, юзеры не могут входить по Console и SSH. Вопрос2: как включить данные атрибуты  в список атрибутов для отправки обратно на NAS?

    Коллеги, помогите плиз, т.к. начальство скоро порвет...

    P.S.: похожей темы не нашел. Мануал по IAS читал. RFC2865(RADIUS) читал.


    15 апреля 2011 г. 19:10
    |