Radius accounting

ID статьи: 102
Последнее обновление: 18 янв, 2024
Documentation:
Product: NGFW
Version: 5.x, 6.1.9, 7.0.1

NGFW может прозрачно аутентифицировать пользователей, уже прошедших аутентификацию на внешнем сервере RADIUS. NGFW не взаимодействует с сервером RADIUS, а только отслеживает информацию RADIUS accounting, перенаправленную от RADIUS клиента. RADIUS accounting содержит информацию об имени и IP-адресе пользователя. Для настройки нужно выполнить следующие шаги:

Наименование

Описание

Шаг 1. Завести пользователя в NGFW.

Завести необходимых локальных пользователей в NGFW. Смотрите раздел Пользователи.

Шаг 2. Разрешить сервис Агент авторизации на требуемой зоне.

В разделе Сеть ➜ Зоны, выберите зону, на интерфейс которой планируется отсылать RADIUS-accounting. Разрешите сервис Агент авторизации. Более подробно о настройке зон смотрите в разделе Настройка зон.

Шаг 3. Настроить пароль агентов терминального сервиса.

В консоли NGFW в разделе UserGate ➜ Настройки ➜ Модули напротив записи Пароль агентов терминального сервиса нажмите на кнопку Настроить и укажите пароль агента терминального сервиса. Данный пароль будет использоваться в качестве RADIUS secret при настройке сервера RADIUS.

Шаг 4. Добавить источник RADIUS accounting в веб-консоли NGFW.

В разделе Пользователи и устройства ➜ Терминальные серверы необходимо добавить источник информации RADIUS accounting, указав имя и IP-адрес хоста.

Шаг 5. Настроить RADIUS accounting.

Настроить отсылку информации RADIUS accounting на NGFW, указав в качестве IP-адреса сервера IP-адрес UserGate, порт — UDP 1813. Указать RADIUS secret, совпадающий с паролем агента для терминального сервера, указанным на шаге 3.

Имя пользователя необходимо передавать в атрибуте RADIUS User-Name (type=1), IP-адрес пользователя — в атрибуте RADIUS Framed-IP-Address (type=8), а IP-адрес сервера RADIUS — в атрибуте RADIUS NAS_IP_Address (type=4).

Более подробно о настройке сервера RADIUS смотрите в руководстве на используемый вами сервер RADIUS и RADIUS клиент.

Важно! Период обновления информации RADIUS accounting должен быть не более 120 секунд.

После выполнения данной настройки, NGFW будет сопоставлять имя пользователя и присылаемый сервером RADIUS accounting IP-адрес пользователя. В зависимости от передаваемой информации NGFW будет вести себя следующим образом:

Наименование

Описание

RADIUS сервер прислал имя пользователя, который не заведен на NGFW.

На Accounting-запрос будет ответ Accounting reject. Данные о пользователях не изменятся.

RADIUS сервер прислал имя существующего пользователя и указал тип Acct-Status-Type = Start или Interim-Update.

Указанному пользователю присвоится переданный IP-адрес. Имя пользователя начнет отображаться в журналах для данного IP-адреса. Пользовательские правила начнут применяться для трафика данного IP-адреса. Если у пользователя уже был IP-адрес, отличный от переданного, то пользователю будет присвоено 2 и более IP-адресов.

Если пользователю уже присвоен данный IP-адрес, то ничего не происходит.

Если этот IP-адрес присвоен другому пользователю, то он будет удален у того пользователя и будет присвоен пользователю, указанному в запросе.

RADIUS сервер прислал имя существующего пользователя и указал тип Acct-Status-Type = Stop.

У указанного пользователя удалится переданный IP-адрес. Имя пользователя перестанет отображаться в журналах для данного IP адреса. Пользовательские правила перестанут применяться для трафика данного IP-адреса.

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 102
Последнее обновление: 18 янв, 2024
Ревизия: 6
Просмотры: 6052
Комментарии: 0
Теги

Также опубликовано в