本帮助主要介绍以下内容:
DAE(Dynamic Authorization Extensions,动态授权扩展)协议是RFC 5176中定义的RADIUS协议的一个扩展,它用于强制认证用户下线,或者更改在线用户授权信息。DAE采用客户端/服务器通信模式,由DAE客户端和DAE服务器组成。
DAE客户端:用于发起DAE请求,通常驻留在一个RADIUS服务器上,也可以为一个单独的实体。
DAE服务器:用于接收并响应DAE客户端的DAE请求,通常为一个NAS(Network Access Server,网络接入服务器)设备。
在设备上开启RADIUS DAE服务后,设备将作为RADIUS DAE服务器在指定的UDP端口监听指定的RADIUS DAE客户端发送的DAE请求消息,然后根据请求消息查找用户、进行用户授权信息的修改、断开用户连接或关闭/重启用户接入端口,并向RADIUS DAE客户端发送DAE应答消息。
设备查找用户的依据是DAE请求报文中携带的用户标识信息,包括用户名、用户IP地址、Acct-Session-Id、Acct-Multi-Session-Id和EDSG策略名。如果设备没有查找到对应的用户,则不处理该DAE请求。缺省情况下,设备对DAE请求报文中的所有用户标识信息都进行校验,只有在设备上查找到了严格匹配所有信息的用户才会处理该DAE请求。如果设备上开启了宽松检查功能,则设备只会校验DAE报文中的部分用户标识信息,包括用户IP地址、Acct-Session-Id以及Acct-Multi-Session-Id。
DAE服务基础配置的具体配置步骤如下:
选择“配置 > 认证配置 > AAA> RADIUS > DAE服务”,进入DAE服务页面。
在“RADIUS DAE服务”配置处,开启RADIUS DAE服务,开启RADIUS DAE服务后,设备将会监听指定的RADIUS DAE客户端发送的DAE请求消息,然后根据请求消息修改用户授权信息、断开用户连接请求。
在“基础配置”页面,配置监听DAE报文客户端和接收DAE请求消息UDP端口。
完成以上配置步骤后,点击<提交>按钮即可提交在基础配置页面执行的修改。