Настройка С-Терра Шлюз
В настройке AAA на Шлюзе используется три структуры LSP:
1. В правиле IKERule задается атрибут AAA типа AAARule.
Если атрибут AAA отсутствует, то для задействованного правила IKERule протокол AAA не используется.
IKERule ike (
# ...
AAA = aaa_model
)
2. Структура AAARule описывает правила протокола AAA для соединений, создаваемых с применением задействованного правила IKERule, в котором указано данное правило AAARule.
AAARule aaa_model (
# Сценарий первого запроса. (PAP: User/Password, OTP: User/Password/Passcode)
ClientDialogType = PAP # [default: no xauth] PAP, OTP
# Текстовое сообщение первого запроса (требует ClientDialogType)
ClientDialogMessage = "Enter login info on server 186:" # [default: no message]
# Метод альтернативного получения Username:
# Eсли задано и есть ClientDialogType, то поле Username в диалоге не запрашивается
ForcedUser = IKE_ID # [default: Username из ClientDialog] “string”
либо
# IKE_ID,CERT_SUBJ_CN,CERT_SUBJ_OU,CERT_ALTSUBJ_EMAIL,CERT_ALTSUBJ_DNS
# Метод альтернативного получения Password для единого пароля всех Users данного правила:
# Eсли задано и есть ClientDialogType, то поле Password в диалоге не запрашивается.
ForcedPasswordId = "pass186" # [default: Password из ClientDialog] <Имя ключа в базе>
AuthenticationServer = r_186 # [default: no RADIUS Access]
AccountingServer = r_186 # [default: no RADIUS Accounting]
# Периодичность отсылки промежуточной (Interim) статистики (сек.)
#
0: Промежуточная статистика не отсылается, отсылаются только события
START
и STOP
AccountingUpdateInterval = 20 # [default: 60] 0..65535
# Не отвечать на ARP-запросы, если AuthenticationServer назначил партнёру IKECFG адрес.
NoProxyARP = TRUE # [default: FALSE]
)
3. Структура RADIUSServer описывает правила взаимодействия с внешним AAA сервером по протоколу RADIUS.
RADIUSServer r_186 (
IPAddress = 10.4.8.186 # IP-адрес сервера
SecretId = "secret186" # <Имя ключа в базе> для доступа к серверу
AuthenticationPort = 1645 # [default: 1812] 1..65535
AccountingPort = 1646 # [default: 1813] 1..65535
ResponseTimeout = 5 # [default: 3] 1..65535
Retries = 10 # [default: 4] 1..10
)
Настройка С-Терра Клиент
Устройство, выступающее в роли Клиента, специально никак не настраивается. Особенности реализации Клиента отражаются только в настройках Шлюза:
• Если Клиент поддерживает XAuth (С-Терра Клиент, начиная с версии 4.1, а также VPN-клиенты сторонних производителей), то Шлюз формирует параметры для AAA из XAuth обменов, выступая в роли XAuth сервера.
• Если Клиент не поддерживает XAuth (С-Терра Клиент до версии 4.1, С-Терра Шлюз, С-Терра Юнит, а также VPN-устройства сторонних производителей), то Шлюз формирует параметры для AAA из ISAKMP обмена.
• Если в сценарии участвует RADIUS сервер, то данные Клиента, передаваемые в AAA, задаются в соответствии с базой учетных записей на RADIUS сервере:
• Если Клиент поддерживает XAuth, то оператор Клиента должен вводить данные для AAA в соответствии с целевой учетной записью на RADIUS сервере.
• Если Клиент не поддерживает XAuth, то данные аутентификации для ISAKMP, используемые Клиентом, должны соответствовать учетной записи на RADIUS сервере – в зависимости от метода, задаваемого в конфигурации Шлюза.
Настройка RADIUS сервера
Настройка RADIUS сервера в данном документе не рассматривается.