Взаимодействие между Клиентом, Шлюзом и RADIUS сервером

 

1.    Клиент инициирует IPsec соединение со Шлюзом.

2.    Шлюз, после ISAKMP аутентификации запрашивает по XAuth дополнительные параметры аутентификации у Клиента и передает их RADIUS серверу.

3.    RADIUS сервер, в зависимости от реализации и настроек:

1.    Проверяет дополнительные параметры аутентификации пользователя Клиента (Authentication).

В зависимости от настроек, RADIUS сервер может запросить дополнительные сведения о пользователе в интерактивном режиме (например, сформировав SMS-код с помощью внешнего устройства). В этом случае Шлюз передает запрос от RADIUS сервера Клиенту по XAuth, а затем отправляет ответ от Клиента обратно на RADIUS сервер.

2.    Проверяет правила создания данным пользователем защищенного соединения между данным Клиентом и данным Шлюзом (Authorization).

Возможность создания соединения для конкретного пользователя может регламентироваться расписанием, внешними условиями (запрос на другой Access  сервер) либо вручную, путём редактирования базы доступа администратором.

Правило доступа может содержать дополнительные параметры создаваемого соединения:

      Framed IP-адрес, назначаемый Клиенту в качестве IKECFG адреса;

      Список DNS серверов, назначаемый Клиенту;

      Domain суффикс, назначаемый Клиенту.

Правила доступа к сетевым объектам, задаваемые в RADIUS, продуктами С- Терра не поддерживаются.

Примечание: Имеется в виду, что правила настройки межсетевого экрана задаются только в LSP, и не могут быть переданы Клиенту по IKECFG.

 

4 Шлюз получает решение о допуске Клиента от RADIUS сервера и транслирует его по XAuth Клиенту.

     Положительное решение подтверждает создание ISAKMP соединения, что позволяет в дальнейшем согласовать под его защитой соединения IPsec между данными Шлюзом и Клиентом.

     В случае формирования RADIUS сервером дополнительных параметров соединения, для ISAKMP соединения дополнительно проводится IKECFG обмен с назначением Клиенту соответствующих IKECFG данных.

5.  После установления IPsec SA между Шлюзом и Клиентом, Шлюз передает на RADIUS сервер данные суммарной статистики по всем таким SA  (Accounting).

1.    При создании первого IPsec SA, на RADIUS сервер отсылается событие создания соединения.

2.    При уничтожении последнего IPsec SA, на RADIUS сервер отсылается событие уничтожения соединения с итоговой статистикой с момента события создания соединения.

3.    Между событиями создания и уничтожения соединения могут посылаться периодические сообщения с актуальной суммарной статистикой по всем IPsec SA между Шлюзом и Клиентом с момента события создания соединения.

Отдельные части описанного процесса могут отсутствовать, либо могут быть упрощены, в зависимости от исполнения объектов взаимодействия и целевых сценариев.