UserGate SWG может прозрачно аутентифицировать пользователей, уже прошедших аутентификацию на внешнем сервере RADIUS. UserGate SWG не взаимодействует с сервером RADIUS, а только отслеживает информацию RADIUS accounting, перенаправленную от RADIUS-клиента. RADIUS accounting содержит информацию об имени и IP-адресе пользователя.

Для функции выполните следующие шаги:

1. Создайте необходимых локальных пользователей в UserGate SWG. Подробнее о создании пользователей — в разделе «Пользователи».

2. В разделе Настройки ➜ Сеть ➜ Зоны выберите зону, которой принадлежит интерфейс, на которой будут приходить сообщения RADIUS accounting. В свойствах контроля доступа зоны разрешите сервис Агент авторизации.

3. Установите пароль агентов терминального сервиса. В разделе Настройки ➜ UserGate ➜ Настройки ➜ Модули в строке Пароль агентов терминального сервиса нажмите Настроить и укажите пароль агента терминального сервиса. Этот пароль будет использоваться в качестве RADIUS secret при настройке сервера RADIUS.

4. Добавьте источник RADIUS accounting в веб-консоли UserGate SWG. В разделе Настройки ➜ Пользователи и устройства ➜ Терминальные серверы добавьте источник информации RADIUS accounting, указав имя и IP-адрес узла.

5. Настройте отсылку информации RADIUS accounting на узел UserGate SWG, указав в качестве IP-адреса сервера IP-адрес UserGate SWG, порт UDP 1813. Укажите RADIUS secret, совпадающий с паролем агента для терминального сервера, добавленный на шаге 3.

Имя пользователя необходимо передавать в атрибуте RADIUS User-Name (type=1), IP-адрес пользователя — в атрибуте RADIUS Framed-IP-Address (type=8), а IP-адрес сервера RADIUS — в атрибуте RADIUS NAS_IP_Address (type=4).

Подробнее о настройке сервера RADIUS смотрите в руководстве на используемый вами сервер RADIUS и RADIUS-клиент.

Важно! Период обновления информации RADIUS accounting должен быть не более 120 секунд.

После выполнения настройки UserGate SWG будет сопоставлять имя пользователя и присылаемый RADIUS-сервером IP-адрес пользователя. В зависимости от полученной информации UserGate SWG будет работать следующим образом:

Событие

Ответ UserGate SWG

От RADIUS-сервера получено имя пользователя, который не создан на UserGate SWG

На сообщение Accounting request UserGate SWG отправит сообщение Accounting reject. Данные о пользователях не изменятся

От RADIUS-сервера получено имя существующего пользователя и указан тип Acct-Status-Type = Start или Interim-Update

Указанному пользователю присвоится полученный IP-адрес.

Имя пользователя начнет отображаться в журналах для этого IP-адреса. Пользовательские правила начнут применяться для трафика с этого IP-адреса.
Если у пользователя уже был IP-адрес, отличный от полученного, пользователю будет присвоен дополнительный IP-адрес.
Если пользователю уже присвоен этот IP-адрес, никаких изменений не произойдет.
Если этот IP-адрес присвоен другому пользователю, он будет удален у другого пользователя и будет присвоен пользователю, указанному в запросе

От RADIUS-сервера получено имя существующего пользователя и указан тип Acct-Status-Type = Stop

У пользователя удалится полученный IP-адрес. Имя пользователя перестанет отображаться в журналах для этого IP адреса. Пользовательские правила перестанут применяться для трафика с этого IP-адреса.