UserGate может прозрачно аутентифицировать пользователей, уже прошедших аутентификацию на внешнем сервере RADIUS. Сервер UserGate не взаимодействует с сервером RADIUS, а только отслеживает информацию RADIUS accounting, перенаправленную от RADIUS клиента. RADIUS accounting содержит информацию об имени и IP-адресе пользователя. Для настройки нужно выполнить следующие шаги:
|
Наименование |
Описание |
|---|---|
|
Шаг 1. Завести пользователя в UserGate. |
Завести необходимых локальных пользователей в UserGate. Смотрите раздел Пользователи. |
|
Шаг 2. Разрешить сервис Агент авторизации на требуемой зоне. |
В разделе Сеть --> Зоны, выберите зону, на интерфейс которой планируется отсылать RADIUS-accounting. Разрешите сервис Агент авторизации. Более подробно о настройке зон смотрите в разделе Настройка зон. |
|
Шаг 3. Настроить пароль агентов терминального сервиса. |
В консоли UserGate в разделе UserGate --> Настройки --> Модули напротив записи Пароль агентов терминального сервиса нажмите на кнопку Настроить и укажите пароль агента терминального сервиса. Данный пароль будет использоваться в качестве RADIUS secret при настройке сервера RADIUS. |
|
Шаг 4. Добавить источник RADIUS accounting в веб-консоли UserGate. |
В разделе Пользователи и устройства --> Терминальные серверы необходимо добавить источник информации RADIUS accounting, указав имя и IP-адрес хоста. |
|
Шаг 5. Настроить RADIUS accounting. |
Настроить отсылку информации RADIUS accounting на сервер UserGate, указав в качестве IP-адреса сервера IP-адрес UserGate, порт - UDP 1813. Указать RADIUS secret, совпадающий с паролем агента для терминального сервера, указанным на шаге 3. Имя пользователя необходимо передавать в атрибуте RADIUS User-Name (type=1), IP-адрес пользователя - в атрибуте RADIUS Framed-IP-Address (type=8), IP-адрес сервера RADIUS - в атрибуте RADIUS NAS_IP_Address (type=4). Более подробно о настройке сервера RADIUS смотрите в руководстве на используемый вами сервер RADIUS и RADIUS клиент. Важно! Период обновления информации RADIUS accounting должен быть не более 120 секунд. |
После выполнения данной настройки, UserGate будет сопоставлять имя пользователя и присылаемый сервером RADIUS accounting IP-адрес пользователя. В зависимости от передаваемой информации UserGate будет вести себя следующим образом:
|
Наименование |
Описание |
|---|---|
|
RADIUS сервер прислал имя пользователя, который не заведен на UserGate. |
На Accounting-запрос будет ответ Accounting reject. Данные о пользователях не изменятся. |
|
RADIUS сервер прислал имя существующего пользователя и указал тип Acct-Status-Type = Start или Interim-Update. |
Указанному пользователю присвоится переданный IP-адрес. Имя пользователя начнет отображаться в журналах для данного IP-адреса. Пользовательские правила начнут применяться для трафика данного IP-адреса. Если у пользователя уже был IP-адрес, отличный от переданного, то пользователю будет присвоено 2 и более IP-адресов. Если пользователю уже присвоен данный IP-адрес, то ничего не происходит. Если этот IP-адрес присвоен другому пользователю, то он будет удален у того пользователя и будет присвоен пользователю, указанному в запросе. |
|
RADIUS сервер прислал имя существующего пользователя и указал тип Acct-Status-Type = Stop. |
У указанного пользователя удалится переданный IP-адрес. Имя пользователя перестанет отображаться в журналах для данного IP адреса. Пользовательские правила перестанут применяться для трафика данного IP-адреса. |