6.11. RADIUS accounting

UserGate может прозрачно аутентифицировать пользователей, уже прошедших аутентификацию на внешнем сервере RADIUS. Сервер UserGate не взаимодействует с сервером RADIUS, а только отслеживает информацию RADIUS accounting, перенаправленную от RADIUS клиента. RADIUS accounting содержит информацию об имени и IP-адресе пользователя. Для настройки нужно выполнить следующие шаги:

Наименование

Описание

Шаг 1. Завести пользователя в UserGate.

Завести необходимых локальных пользователей в UserGate. Смотрите раздел Пользователи.

Шаг 2. Разрешить сервис Агент авторизации на требуемой зоне.

В разделе Сеть --> Зоны, выберите зону, на интерфейс которой планируется отсылать RADIUS-accounting. Разрешите сервис Агент авторизации. Более подробно о настройке зон смотрите в разделе Настройка зон.

Шаг 3. Настроить пароль агентов терминального сервиса.

В консоли UserGate в разделе UserGate --> Настройки --> Модули напротив записи Пароль агентов терминального сервиса нажмите на кнопку Настроить и укажите пароль агента терминального сервиса. Данный пароль будет использоваться в качестве RADIUS secret при настройке сервера RADIUS.

Шаг 4. Добавить источник RADIUS accounting в веб-консоли UserGate.

В разделе Пользователи и устройства --> Терминальные серверы необходимо добавить источник информации RADIUS accounting, указав имя и IP-адрес хоста.

Шаг 5. Настроить RADIUS accounting.

Настроить отсылку информации RADIUS accounting на сервер UserGate, указав в качестве IP-адреса сервера IP-адрес UserGate, порт - UDP 1813. Указать RADIUS secret, совпадающий с паролем агента для терминального сервера, указанным на шаге 3.

Имя пользователя необходимо передавать в атрибуте RADIUS User-Name (type=1), IP-адрес пользователя - в атрибуте RADIUS Framed-IP-Address (type=8), IP-адрес сервера RADIUS - в атрибуте RADIUS NAS_IP_Address (type=4).

Более подробно о настройке сервера RADIUS смотрите в руководстве на используемый вами сервер RADIUS и RADIUS клиент.

Важно! Период обновления информации RADIUS accounting должен быть не более 120 секунд.

После выполнения данной настройки, UserGate будет сопоставлять имя пользователя и присылаемый сервером RADIUS accounting IP-адрес пользователя. В зависимости от передаваемой информации UserGate будет вести себя следующим образом:

Наименование

Описание

RADIUS сервер прислал имя пользователя, который не заведен на UserGate.

На Accounting-запрос будет ответ Accounting reject. Данные о пользователях не изменятся.

RADIUS сервер прислал имя существующего пользователя и указал тип Acct-Status-Type = Start или Interim-Update.

Указанному пользователю присвоится переданный IP-адрес. Имя пользователя начнет отображаться в журналах для данного IP-адреса. Пользовательские правила начнут применяться для трафика данного IP-адреса. Если у пользователя уже был IP-адрес, отличный от переданного, то пользователю будет присвоено 2 и более IP-адресов.

Если пользователю уже присвоен данный IP-адрес, то ничего не происходит.

Если этот IP-адрес присвоен другому пользователю, то он будет удален у того пользователя и будет присвоен пользователю, указанному в запросе.

RADIUS сервер прислал имя существующего пользователя и указал тип Acct-Status-Type = Stop.

У указанного пользователя удалится переданный IP-адрес. Имя пользователя перестанет отображаться в журналах для данного IP адреса. Пользовательские правила перестанут применяться для трафика данного IP-адреса.