Спецификация реализации RADIUS на ФПСУ
|
|
Спецификация реализации RADIUS на ФПСУ |
|
|
В данном пункте приводятся поддерживаемые ФПСУ-IP типы сообщений и опциональные атрибуты реализации протокола удаленной аутентификации, аккаунтинга и авторизации RAIDUS. Протокол реализует управление VPN клиентами, использующими для подключения программное обеспечение «ФПСУ-IP/Клиент» и «ФПСУ Клиент PKI». Выделенные курсивом Поля соответствуют одноименным полям описанным в этом пункте, жирный курсивом Поля соответствуют одноименным в приведенных ниже стандартах. Выделенные синим цветом поля доступны только для клиентов, использующих программное обеспечение «ФПСУ-IP/Клиент», зеленым цветом - «ФПСУ Клиент PKI» там, где ограничение не указано явно. Стандарты Реализованы с выборочной поддержкой опциональных атрибутов следующие стандарты: RFC 2865 – авторизация RFC 2866 – аккаунтинг RFC 2869 – дополнительные атрибуты RFC 5176 – динамическая авторизация
Проприетарные атрибуты Проприетарные атрибуты реализованы как атрибут Vendor-Specific (26) c Vendor-id равным 37249 (IANA Amicon ID) с Vendor type атрибутами, приведенными в таблице ниже: Таблица. Проприетарные атрибуты
Аутентификация клиента Поддерживается простая аутентификация по User-Password (RSA Message Digest Algorithm MD5 based method) запросом Access-Request и получением по результатам аутентификации сообщения Access-Accept в случае успеха и Access-Reject в случае отказа в доступе. В Access-Request ФПСУ передает атрибуты: User-Name, User-Password, NAS-IP-Address, NAS-Port, Framed-IP-Address, Called-Station-Id, Calling-Station-Id, Message-Authenticator, Amicon-ClientMAC, Amicon-ClientIP, Amicon-SWVer, Amicon-OSVer, Amicon-ClientDCN, Amicon-ClientDGUID. Для подключений ФПСУ-IP/Клиент дополнительно: Amicon-SysID, Amicon-GroupID, Amicon-UserID, Amicon-KeySerie, Amicon-KeyGen, Amicon-Flags, Amicon-ClientLic, Amicon-ClientLicExp, Amicon-FWVer. Для подключений ФПСУ-IP/Клиент PKI дополнительно: Amicon-Certificate-ID, Amicon-Certificate-CN, Amicon-Certificate-IssuerKID, Amicon-Certificate-Serial, Amicon-Certificate?Issuer, Amicon-Certificate-Alg. В Access-Access ФПСУ использует следующие атрибуты: Message-Authenticator, Session-Timeout, Idle-Timeout, Filter-ID, Class.
Аккаунтинг клиента При соединении (Acct-Status-Type=Start), отключение клиента (Acct-Status-Type=Stop), а так же с заданной периодичностью во время сессии работы клиент (Acct-Status-Type=Interrim-Update), ФПСУ передает сообщения Accounting-Request на RADIUS сервер. В Accounting-Request ФПСУ передает атрибуты: User-Name, Acct-Status-Type, Acct-Authentic, Acct-Session-Id, Acct-Input-Octets, Acct-Output-Octets, Acct-Session-Time, Acct-Input-Packets, Acct-Output-Packets, Acct-Terminate-Cause, Service-Type, Framed-Protocol, Class, NAS-IP-Address, NAS-Port, Framed-IP-Address, Called-Station-Id, Calling-Station-Id, Message-Authenticator, Amicon-ClientMAC, Amicon-ClientIP, Amicon-SWVer, Amicon-OSVer, Amicon-ClientDCN, Amicon-ClientDGUID. Для подключений ФПСУ-IP/Клиент дополнительно: Amicon-SysID, Amicon-GroupID, Amicon-UserID, Amicon-KeySerie, Amicon-KeyGen, Amicon-Flags, Amicon-ClientLic, Amicon-ClientLicExp, Amicon-FWVer. Для подключений ФПСУ-IP/Клиент PKI дополнительно: Amicon-Certificate-ID, Amicon-Certificate-CN, Amicon-Certificate-IssuerKID, Amicon-Certificate-Serial, Amicon-Certificate-Issuer, Amicon-Certificate-Alg.
Смена авторизации клиента ФПСУ принимает сообщения CoA-Request на UDP порт 3799, изменяющие уровень доступа соединенного клиента на заданный атрибутом Filter-ID (типа string, строка содержит заданное UTF-8 текстом числовое значения уровня). Вновь соединившийся пользователь имеет уровень доступа "1". Пользователи, проходящие аутентификацию RADIUS, после успешной аутентификации имеют уровень доступа "2". Клиент задается одним из 3 вариантов набора атрибутов: •Acct-Session-Id – идентификатор сессии аккаунтинга RADIUS; •Framed-IP-Address - внутренний IPv4 адрес клиента (NAT на ФПСУ либо реальный); •Amicon-SysID, Amicon-GroupID, Amicon-UserID – учетные номера клиента. Только для подключений ФПСУ-IP/Клиент. В CoA-Request ФПСУ использует следующие атрибуты: Acct-Session-Id, Framed-IP-Address, Message-Authenticator, Filter-ID, Avent-Timestamp, NAS-IP-Address, Amicon-SysID, Amicon-GroupID, Amicon-UserID. Следующие атрибуты являются обязательными у учавствуют в дополнительных проверках: Avent-Timestamp – отметка времени должна отличаться от времени ФПСУ не более чем на ±10с; NAS-IP-Address – IP адрес должен совпадать с адресом назначения заголовка IP пакета; Filter-ID – значения атрибута должно быть текстовым представлением числа от "1" до "99"; Одним из перечисленных выше вариантов быть задан клиент. В случае успешной смены авторизации, ФПСУ отвечает сообщением CoA-ACK. При ошибке — CoA-NAK с аттрибутами: Error-Cause. Возможные значения атрибута Missing Attribute (402), Error-Cause: Invalid Request (404), Session Context Not Found (503).
Отключение клиента ФПСУ принимает сообщения Disconnect-Request на UDP порт 3799. Задание клиента для идентификации аналогично сообщению CoA-Request. В Disconnect-Request ФПСУ использует следующие атрибуты: Acct-Session-Id, Framed-IP?Address, Avent-Timestamp, NAS-IP-Address, Message-Authenticator, Amicon-SysID, Amicon-GroupID, Amicon-UserID. Следующие атрибуты являются обязательными у учавствуют в дополнительных проверках: Avent-Timestamp – отметка времени должна отличаться от времени ФПСУ не более чем на ±10с; NAS-IP-Address – IP адрес должен совпадать с адресом назначения заголовка IP пакета; Одним из перечисленных выше вариантов быть задан клиент. В случае успешного отключения, ФПСУ отвечает сообщением Disconnect-ACK. При ошибке — Disconnect-NAK с аттрибутами: Error-Cause. Возможные значения атрибута Missing Attribute (402), Error-Cause: Invalid Request (404), Session Context Not Found (503)
Приложение — словарь RADIUS
|