Inhaltsverzeichnis
Werbung
62
Rückgabe von Benutzergruppeninformationen über RADIUS
Wenn ein RADIUS-Authentifizierungsversuch erfolgreich ist, bestimmt IP-Reach die Berechtigungen eines
Benutzers anhand der Berechtigungen der Gruppe des Benutzers.
Ihr Remote-RADIUS-Server kann diese Benutzergruppennamen bereitstellen, indem er ein als RADIUS
FILTER-ID implementiertes Attribut zurückgibt. Die FILTER-ID sollte folgendermaßen formatiert werden:
Raritan:G{GRUPPENNAME}
Dabei ist
GRUPPENNAME
angehört.
Spezifikationen für den RADIUS-Kommunikationsaustausch
IP-Reach sendet die folgenden Informationen in einer Authentifizierungsanfrage an den RADIUS-Server:
A
TTRIBUT
USER-NAME
USER-PASSWORD
CHAP-PASSWORD
NAS-IP-ADDRESS
NAS-IDENTIFIER
NAS-PORT-TYPE
NAS-PORT
STATE
PROXY-STATE
IP-Reach sendet mit jeder Kontoführungsanforderung die folgenden RADIUS-Attribute an den RADIUS-
Server:
A
TTRIBUT
SESSION-TYPE
Dieses Attribut ist entweder START (1) für die Anmeldung oder STOP (2) für die
Abmeldung.
SESSION-ID
Dies ist eine Zeichenfolge mit einem eindeutigen Sitzungsnamen. Der Name besitzt
das Format „<NAS-IDENTIFIER>:<Benutzer-IP-Adresse>:<eindeutige
Sitzungsnummer>".
Beispiel: „IP-Reach:192.168.1.100:122"
USER-NAME
Siehe oben.
NAS-IP-ADDRESS
Siehe oben.
NAS-IDENTIFIER
Siehe oben.
NAS-PORT-TYPE
Siehe oben.
NAS-PORT
Siehe oben.
FILTER-ID
Alle während der Authentifizierung vom RADIUS-Server zurückgegebenen
FILTER-ID-Attribute werden in jeder Kontoführungsanforderung gesendet.
CLASS
Alle während der Authentifizierung vom RADIUS-Server zurückgegebenen
CLASS-Attribute werden in jeder Kontoführungsanforderung gesendet.
ACCT-
Gibt an, wie der Benutzer authentifiziert wurde: entweder RADIUS (1), wenn der
AUTHENTIC
Benutzer vom RADIUS-Server authentifiziert wurde, oder LOCAL (2), wenn der
Benutzer anhand der internen Benutzernamendatenbank von IP-Reach authentifiziert
wurde.
TERMINATE-
Wenn dies eine STOP-Anforderung ist, gibt dieses Attribut den Grund für die
CAUSE
Beendigung bzw. Trennung des Benutzers an. Der Wert lautet USER_REQUEST (1),
LOST_SERVICE (3), SESSION_TIMEOUT (5) oder ADMIN_RESET (6).
eine Zeichenfolge, die den Namen der Gruppe angibt, der der Benutzer
Dies ist der in der Anmeldemaske eingegebene Benutzername.
Dies ist das im PAP-Modus in der Anmeldemaske eingegebene verschlüsselte
Kennwort.
Dies ist die im CHAP-Modus aufgrund des Kennworts und der
CHAP-Herausforderungsdaten berechnete CHAP-Protokollantwort.
Dies ist die IP-Adresse von IP-Reach.
Dies ist der im Fenster Network Configuration (Netzwerkkonfiguration)
konfigurierte Name der IP-Reach-Einheit (siehe hierzu den vorhergehenden
Abschnitt).
Dies ist der Wert ASYNC (0) für Modemverbindungen und der Wert
ETHERNET (15) für Netzwerkverbindungen.
Dieses Attribut ist immer 0.
Wenn diese Anforderung als Antwort auf ein ACCESS-CHALLENGE-Ereignis
erfolgt, werden die Statusdaten aus dem ACCESS-CHALLENGE-Paket
zurückgegeben.
Wenn diese Anforderung als Antwort auf ein ACCESS-CHALLENGE-Ereignis
erfolgt, werden die Proxystatusdaten aus dem ACCESS-CHALLENGE-Paket
zurückgegeben.
IP-R
EACH
D
ATEN
D
ATEN
-B
ENUTZERHANDBUCH
Werbung
Inhaltsverzeichnis
