Настройка продуктов С-Терра в части дополнительной функциональности, связанной с протоколом AAA

Настройка Шлюза

В настройке AAA на Шлюзе используется три структуры LSP:

1. В правиле IKERule задается атрибут AAA типа AAARule.

Если атрибут AAA отсутствует, то для задействованного правила IKERule протокол AAA не используется.

IKERule ike (

#   ...

  AAA = aaa_model

)

2. Структура AAARule описывает правила протокола AAA для соединений, создаваемых с применением задействованного правила IKERule, в котором указано данное правило AAARule.

AAARule aaa_model (

  # Сценарий первого запроса. (PAP: User/Password, OTP: User/Password/Passcode)

  ClientDialogType = PAP        # [default: no xauth] PAP, OTP

  # Текстовое сообщение первого запроса (требует ClientDialogType)

  ClientDialogMessage = "Enter login info on server 186:"  # [default: no message]

  # Метод альтернативного получения Username:

  # Eсли задано и есть ClientDialogType, то поле Username в диалоге не запрашивается

  ForcedUser = IKE_ID # [default: Username из ClientDialog] “string” либо

                      # IKE_ID,CERT_SUBJ_CN,CERT_SUBJ_OU,CERT_ALTSUBJ_EMAIL,CERT_ALTSUBJ_DNS

  # Метод альтернативного получения Password для единого пароля всех Users данного правила:

  # Eсли задано и есть ClientDialogType, то поле Password в диалоге не запрашивается.

  ForcedPasswordId = "pass186"  # [default: Password из ClientDialog] <Имя ключа в базе>

  AuthenticationServer = r_186  # [default: no RADIUS Access]

  AccountingServer     = r_186  # [default: no RADIUS Accounting]

  # Периодичность отсылки промежуточной (Interim) статистики (сек.)

  # 0: Промежуточная статистика не отсылается, отсылаются только события START и STOP

  AccountingUpdateInterval = 20 # [default: 60] 0..65535

  # Не отвечать на ARP-запросы, если AuthenticationServer назначил партнёру IKECFG адрес.

  NoProxyARP = TRUE            # [default: FALSE]

)

3. Структура RADIUSServer описывает правила взаимодействия с внешним AAA сервером по протоколу RADIUS.

RADIUSServer r_186 (

  IPAddress           = 10.4.8.186    # IP-адрес сервера

  SecretId            = "secret186"   # <Имя ключа в базе> для доступа к серверу

  AuthenticationPort  = 1645          # [default: 1812] 1..65535

  AccountingPort      = 1646          # [default: 1813] 1..65535

  ResponseTimeout     = 5             # [default: 3]    1..65535

  Retries             = 10            # [default: 4]    1..10

)

 

Настройка Клиента

Устройство, выступающее в роли Клиента, специально никак не настраивается. Особенности реализации Клиента отражаются только в настройках Шлюза:

Если в сценарии участвует RADIUS сервер, то данные Клиента, передаваемые в AAA, задаются в соответствии с базой учетных записей на RADIUS сервере:

 

Настройка RADIUS сервера

Настройка RADIUS сервера в данном документе не рассматривается.