Настройка диапазона клиентов на работу с Radius
|
|
Настройка диапазона клиентов на работу с Radius |
|
|
Настройки RADIUS позволяют установить дополнительные требования к аутентификации ФПСУ-IP/Клиентов при попытке соединения с ФПСУ для доступа в защищаемую сеть. Второй фактор аутентификации определяется настройками RADUIS-сервера, ФПСУ в данном случае выступает посредником между ФПСУ-IP/Клиентом и RADUIS-сервером. Перед настройкой диапазона клиентов на работу с RADIUS, требуется предварительно на ФПСУ создать список используемых RADIUS-серверов (подробнее см. пункт «RADIUS»). Для быстрого перехода в окно задания списка RADIUS-серверов на ФПСУ воспользуйтесь кнопкой Редактор серверов. Для ФПСУ-Клиентов настройки RADIUS-серверов открываются по следующей цепочке действий: По команде меню редактирования конфигурации выбрать «Клиенты → ФПСУ-Клиенты», в списке групп Криптосетей выбрать группу клиентов.
В открывшемся окне «Описание клиентов» выбрать диапазон номеров клиентов, которым необходимо установить настройки RADIUS-серверов.
Откроется окно параметров взаимодействия клиентов и ФПСУ. В этом окне выбрать настройки «Абоненты». Откроется окно списка передаваемых клиенту IP-адресов. В этом окне выбрать кнопку «Настройки RADIUS». Для ФПСУ-Клиентов PKI настройки RADIUS-серверов открываются по команде меню редактирования конфигурации выбрать «Клиенты → ФПСУ-Клиенты PKI» по кнопке «Настройки RADIUS».
Далее, для настройки взаимодействия диапазона подключающихся к ФПСУ клиентов с сервером RADIUS, укажите следующие параметры: Для каждого диапазона может быть указано до трех RADIUS-серверов, в зависимости от запрашиваемой у RADIUS-сервера информации. Указанный в настройках ФПСУ RADIUS сервер должен быть настроен на обработку данных от ФПСУ-IP/Клиентов и активен. Аутентификация – укажите в этом поле RADIUS-сервер, настроенный для проверки учетных данных ФПСУ-IP/Клиентов (подробнее про возможности аутентификации см. дальше по тексту). Аккаунтинг – укажите в этом поле RADIUS-сервер, настроенный для записи информации об использовании ресурсов ФПСУ-IP/Клиентов. Авторизация – выбор RADIUS сервера для определения права доступа ФПСУ-IP/Клиентов к определенным сетевым ресурсам. Активно – флаг при включении задействует настройки всех указанных в данном окне RADIUS-серверов на ФПСУ. Возможности взаимодействия с RADUIS-сервером в режиме Аутентификация. На ФПСУ может использоваться двухфакторная аутентификация ФПСУ-IP/Клиента с использованием доменного логина и пароля (первый фактор), временного OTP-пароля (второй фактор) или иного способа авторизации, в зависимости от настроек RADIUS сервера. При указании на ФПСУ активного RADUIS-сервера в поле Аутентификация, с подключающихся ФПСУ-IP/Клиентов будет запрашиваться дополнительная информация, в общем случае указываемая пользователями ФПСУ-IP/Клиентов в полях Логин и Пароль (см. ниже). Флаги Доменный пароль и ОТР пароль влияют на отображение заголовка окна аутентификации ФПСУ-IP/Клиента, эти флаги не влияют на передаваемые по протоколу RADIUS данные.
Данные, вводимые в окне аутентификации ФПСУ-IP/Клиента, ФПСУ целиком ретранслирует на RADIUS-сервер вне зависимости от установленных флагов Доменный пароль и ОТР пароль. Процесс аутентификации зависит от того, как настроен RADIUS-сервер. Если RADIUS-сервер успешно проверяет и подтверждает данные ФПСУ-IP/Клиента, ФПСУ-IP/Клиент аутентифицируется на ФПСУ и получает доступ к защищаемой сети. Дополнительные возможности работы с опцией ОТР пароль. При задействовании сервера аутентификации, сервера аккаунтинга и установки флага OTP пароля администратор ФПСУ может разрешить клиенту восстанавливать разорванное соединение без повторного предъявления OTP. В таком случае, клиент может восстановить разорванное соединение с ФПСУ без повторного ввода OTP в течение таймаута пересоединения, если разрыв соединения произошел в течение действия таймаута аутентификации, начинающегося после последнего ввода OTP. Внимание! Таймаут аутентификации должен быть не меньше таймаута пересоединения. Таймаут пересоединения – время в минутах с момента разрыва соединения, в течение которого клиенту разрешено восстанавливать соединение с ФПСУ без повторного предъявления OTP. Таймаут аутентификации – время в минутах с момента последнего ввода пароля и ОТP клиентом, в течение которого клиенту разрешено восстанавливать соединение с ФПСУ без повторного предъявления OTP. Работа таймаутов на примере: Установлены таймаут аутентификации - 3 часа (180 минут), таймаут пересоединения - 10 минут. OTP включен, авторизация по паролю включена. Если клиент пытается восстановить соединение на 7-й минуте после рассоединения и в течение 3-х часов после последнего ввода OTP, то подключится без повторного запроса OTP, поскольку выполняет повторное соединение до истечения обоих таймаутов, и аутентификации и пересоединения. Если клиент пытается восстановить соединение на 7-й минуте после 3-х часов после последнего ввода OTP, то будет повторно запрашиваться OTP, поскольку истек таймаут аутентификации. Если клиент пытается восстановить соединение на 12-й минуте после рассоединения, то будет повторно запрашиваться OTP несмотря на состояние таймаута аутентификации, поскольку истек таймаут пересоединения. Выход из окна настроек работы диапазона клиентов с RADIUS-серверами. Нажатие кнопки «Сохранить» или клавиши <F2> сохраняет настройки RADIUS и возвращает в окно описания абонентов для диапазона номеров. |
