- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
07-认证管理
本章节下载: 07-认证管理 (313.52 KB)
本帮助主要介绍以下内容:
· 特性简介
· 配置指南
RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。
· RADIUS客户端:一般位于接入设备上,可以遍布整个网络,负责将用户信息传输到指定的RADIUS服务器,然后根据服务器返回的信息进行相应处理(如接受/拒绝用户接入)。
· RADIUS服务器:一般运行在中心计算机或工作站上,维护用户的身份信息和与其相关的网络服务信息,负责接收接入设备发送的认证、授权、计费请求并进行相应的处理,然后给接入设备返回处理结果(如接受/拒绝认证请求)。
RADIUS协议使用UDP作为封装RADIUS报文的传输层协议,通过使用共享密钥机制来保证客户端和RADIUS服务器之间消息交互的安全性。
当接入设备对用户提供AAA(Authentication、Authorization、Accounting,认证、授权、计费)服务时,若要对用户采用RADIUS服务器进行认证、授权、计费,则作为RADIUS客户端的接入设备上需要配置相应的RADIUS服务器参数。
由于RADIUS服务器的授权信息是随认证应答报文发送给RADIUS客户端的,RADIUS的认证和授权功能由同一台服务器实现,因此RADIUS认证服务器相当于RADIUS认证/授权服务器。通过在RADIUS方案中配置RADIUS认证服务器,指定设备对用户进行RADIUS认证时与哪些服务器进行通信。
通过在RADIUS方案中配置RADIUS计费服务器,指定设备对用户进行RADIUS计费时与哪些服务器进行通信。
设备重启后,重启前的原本在线用户可能会被RADIUS服务器认为仍然在线而短时间内无法再次登录。为了解决这个问题,需要开启Accounting-on功能。
开启了Accounting-on功能后,设备会在重启后主动向RADIUS服务器发送Accounting-on报文来告知自己已经重启,并要求RADIUS服务器停止计费且强制通过本设备上线的用户下线。若设备发送Accounting-on报文后RADIUS服务器无响应,则会按照一定的时间间隔尝试重发几次。
iMC RADIUS服务器使用session control报文向设备发送授权信息的动态修改请求以及断开连接请求。设备上开启接收session control报文的开关后,会打开知名UDP端口1812来监听并接收RADIUS服务器发送的session control报文。
需要注意的是,该功能仅能和iMC RADIUS服务器配合使用。
可以通过本功能控制设备是否使用RADIUS 17号标准属性来支持用户在线修改密码。开启本功能后,设备在收到用户的密码修改请求后,会向RADIUS服务器发送一个认证请求报文,在该报文中将用户的旧密码和新密码分别携带在2号、17号标准属性中。如果RADIUS服务器支持用户在线修改密码,则会响应此认证请求。
非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。
· 不支持对FTP类型的登录用户进行计费。
· 必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致。
· 如果在线用户正在使用的计费服务器被删除,则设备将无法发送用户的实时计费请求和停止计费请求,且停止计费报文不会被缓存到本地。
· 为保证认证和计费报文可被服务器正常接收并处理,接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致。
· 设备上设置的发送给RADIUS服务器的数据流或者数据包的单位应与RADUIS服务器上的流量统计单位保持一致。
· 当主服务器状态为“活动”时,设备首先尝试与主服务器通信,若主服务器不可达,设备更改主服务器的状态为“阻塞”,并启动该服务器恢复活动状态的定时器,然后按照备用服务器的配置先后顺序依次查找状态为“活动”的备用服务器进行认证或者计费。如果状态为“活动”的备用服务器也不可达,则将该备用服务器的状态置为“阻塞”,同时启动该服务器恢复活动状态的定时器,并继续查找状态为“活动”的备用服务器。当服务器恢复活动状态的定时器超时,或者手动将服务器状态置为“活动”时,该服务器将恢复为“活动”状态。在一次认证或计费过程中,如果设备在尝试与备份服务器通信时,之前已经查找过的服务器状态由“阻塞”恢复为“活动”,则设备并不会立即恢复与该服务器的通信,而是继续查找备份服务器。如果所有已配置的服务器都不可达,则认为本次认证或计费失败。
· 要根据配置的备用服务器数量合理设置发送RADIUS报文的最大尝试次数和RADIUS服务器响应超时时间,避免因为超时重传时间过长,在主服务器不可达时,出现设备在尝试与备用服务器通信的过程中接入模块(例如Telnet模块)的客户端连接已超时的现象。
· 要根据配置的备用服务器数量合理设置服务器恢复激活状态的时间。如果服务器恢复激活状态时间设置得过短,就会出现设备反复尝试与状态为活动但实际不可达的服务器通信而导致的认证或计费频繁失败的问题;如果服务器恢复激活状态设置的过长,则会导致已经恢复激活状态的服务器暂时不能为用户提供认证或计费服务。
· 当设备配置了Reply-Message属性解析规则时,在线修改用户密码功能将不生效。
新建RADIUS方案具体配置步骤如下:
1. 单击“对象模板 > 认证管理”。
2. 在“认证管理”页面单击<新建>按钮,进入“新建RADIUS方案”页面。
3. 在“新建RADIUS方案”页面的具体配置内容如下表所示:
表-1 配置RADIUS参数表
|
参数 |
说明 |
|
名称 |
用来配置RADIUS方案的名称 |
|
认证服务器 |
· RADIUS认证服务器的IPv4或IPv6地址 · RADIUS认证服务器的UDP端口号,必须与服务器提供认证服务的端口号保持一致 · 与RADIUS认证服务器交互的认证报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致 |
|
计费服务器 |
· RADIUS计费服务器的IPv4或IPv6地址 · RADIUS计费服务器的UDP端口号,必须与服务器提供计费服务的端口号保持一致 · 与RADIUS认计费服务器交互的认证报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致 |
|
全局共享密钥 |
仅在认证服务器或计费服务器未指定相应密钥的情况下使用 |
4. 配置RADIUS高级设置,具体包括如下表所示:
表-2 配置RADIUS高级设置参数表
|
参数 |
说明 |
|
发送RADIUS报文使用的源IPv4地址 |
发送RADIUS报文携带的NAS-IP地址 |
|
发送RADIUS报文使用的源IPv6地址 |
发送RADIUS报文携带的NAS-IP地址 |
|
服务器响应超时时间 |
如果在RADIUS请求报文传送出去一段时间后,设备还没有得到RADIUS服务器的响应,则有必要重传RADIUS请求报文,以保证用户尽可能地获得RADIUS服务,这段时间被称为RADIUS服务器响应超时时间 |
|
发送RADIUS报文的最大尝试次数 |
由于RADIUS协议采用UDP报文来承载数据,因此其通信过程是不可靠的。如果设备在应答超时定时器规定的时长内(由timer response-timeout命令配置)没有收到RADIUS服务器的响应,则设备有必要向RADIUS服务器重传RADIUS请求报文。如果发送RADIUS请求报文的累计次数已达到指定的最大尝试次数而RADIUS服务器仍旧没有响应,则设备将尝试与其它服务器通信,如果不存在状态为active的服务器,则认为本次认证或计费失败 |
|
服务器恢复活动状态的时间 |
服务器恢复激活状态时间:当服务器不可达时,设备将该服务器的状态置为block,并开启超时定时器,在设定的一定时间间隔之后,再将该服务器的状态恢复为active。建议合理设置服务器恢复激活状态的时间: · 如果服务器恢复激活状态时间设置的过短,就会出现设备反复尝试与状态active但实际不可达的服务器通信而导致的认证或计费频繁失败的问题 · 如果服务器恢复激活状态时间设置的过长,当服务器恢复可达后,设备不能及时与其进行通信,会降低对用户进行认证或计费的效率 |
|
发送实时计费更新报文的间隔 |
为了对用户实施实时计费,有必要设置实时计费的时间间隔: · 若实时计费间隔不为0,则每隔设定的时间,设备会向RADIUS服务器发送一次在线用户的计费信息 · 若实时计费间隔设置为0,且服务器上配置了实时计费间隔,则设备按照服务器上配置的实时计费间隔向RADIUS服务器发送在线用户的计费信息;如果服务器上没有配置该值,则设备不向RADIUS服务器发送在线用户的计费信息 实时计费间隔时间越小,计费准确性越高,相对应的对设备和RADIUS服务器性能要求也越高 |
|
发起实时计费更新请求的最大尝试次数 |
设备向RADIUS服务器发出的实时计费请求没有得到响应的次数超过指定的最大值时切断用户连接 |
|
发送给RADIUS服务器的用户名格式 |
接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的: · 发送给RADIUS服务器的用户名与用户的输入保持一致 · 发送给RADIUS服务器的用户名携带ISP域名 · 发送给RADIUS服务器的用户名不携带ISP域名 |
|
发送给RADIUS服务器的数据流的单位 |
配置发送到RADIUS服务器的数据流的单位 |
|
发送给RADIUS服务器的数据包的单位 |
配置发送到RADIUS服务器的数据包的单位 |
|
在线修改用户密码 |
控制设备是否使用RADIUS 17号标准属性来支持用户在线修改密码 |
|
Accounting-on |
Accounting-on功能使得整个设备在重启之后通过发送Accounting-on报文通知该方案所使用的RADIUS计费服务器,要求RADIUS服务器停止计费且强制该设备的用户下线 |
|
Accounting-on报文的重发时间间隔 |
设备发送Accounting-on报文后RADIUS服务器无响应时,报文重新发送的时间间隔 |
|
Accounting-on报文的最大发送次数 |
设备发送Accounting-on报文后RADIUS服务器无响应时,报文发送的最大次数 |
5. 单击<确定>按钮,新建RADIUS成功,且会在“认证管理”页面中显示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
