背景介绍
功能介绍
# 概述
竹云IDaaS提供Radius Server能力,支持各类VPN(深信服、华为、网御等)、云桌面(华为)等企业设备通过Radius协议配置后,进行认证。
本章节为您介绍设备映射定义以及RADIUS属性等相关信息。
# 设备的映射定义
竹云IDaaS设备的映射定义主要是在厂商设备认证成功/失败/挑战码状态下,将厂商设备需要的属性返回给厂商。
因此在映射定义选择上,设备属性名来源于厂商,而每种设备厂商的属性不同。本文主要列出现在支持的厂商的属性,以供大家配置。 映射定义的映射类型同产品其他位置映射一样。
IDaaS可以选择不同的认证状态下返回不同的属性,注意由【适用场景】决定。Access-Accept(成功)、Access-Reject(失败)、Access-Challenge(挑战码),即认证报文对应场景下属性才能返回。
| 映射类型 | 说明 |
|---|---|
| 用户属性 | 可以选择用户属性上具有的属性 |
| 固定属性值 | 固定文本 |
| 动态脚本 | 脚本的语法可以参照开发映射定义里的动态脚本。需要注意的是,设备的脚本对象只有User对象 |
# RADIUS属性
协议RFC2865、RFC2866和RFC3576标准规定了以下RADIUS标准属性,所有主流设备厂商基本上都支持。RADIUS协议具有良好的可扩展性,协议(RFC2865)中定义的26号属性(Vendor-Specific)用于设备厂商对RADIUS进行扩展,以实现标准RADIUS没有定义的功能。
RADIUS属性在认证报文中并不是所有情况下都有返回值,取决于属性本身以及在IDaaS中的配置。RADIUS认证报文中属性一共有四种状态:Access-Request(请求)、Access-Accept(成功)、Access-Reject(失败)、Access-Challenge(挑战码)。
以下介绍一下IDaaS支持的厂商属性。
| 属性名 | 编码 | 属性说明 |
|---|---|---|
| User-Name | 1 | 进行认证的用户名 |
| User-Password | 2 | 进行认证的用户密码,仅对PAP认证有效 |
| Challenge-Password | 3 | 进行认证的用户密码,仅对CHAP认证有效 |
| NAS-IP-Address | 4 | 设备IP地址,如果RADIUS服务器组绑定了接口地址,则取绑定的接口地址,否则取发送报文的接口地址 |
| NAS-Port | 5 | 用户接入端口,格式为“4位槽位号+2位卡号+5位端口号+21位VLAN” |
| Service-Type | 6 | 用户业务类型,接入用户为2,操作用户为6 |
| Framed-Protocol | 7 | 固定为1,表示PPP类型 |
| Framed-IP-Address | 8 | RADIUS服务器为用户分配的IP地址,0xFFFFFFFE表示RADIUS服务器不分配地址,而由设备为用户分配IP地址 |
| Framed-Netmask | 9 | RADIUS服务器为用户分配的IP地址掩码 |
| Filter-ID | 11 | 表示用户组 |
| Login-IP-Host | 14 | Login连接用户的主机IP地址 |
| Login-Service | 15 | Login业务类型----Telnet,Rlogin,TCP Clear,PortMaster (proprietary),LAT |
| Reply-Message | 18 | 认证成功或拒绝消息 |
| Callback-Number | 19 | 认证服务器传递过来可以显示给用户的信息,如移动电话号码等 |
| State | 24 | 如果RADIUS服务器发送给设备的接入质询报文中包含该值,则设备在后续的接入请求报文中必须包含相同的值 |
| Class | 25 | 如果RADIUS服务器发送给设备的认证接受报文中包含该值,则设备在后续的计费请求报文中必须包含相同的值;对于标准RADIUS服务器,设备可以使用Class属性表示CAR参数 |
| Session-Timeout | 27 | 用户可用的剩余时间,以秒为单位;在EAP质询报文中作为用户的重认证时长 |
| Idle-Timeout | 28 | 用户的闲置切断时间,以秒为单位 |
| Termination-Action | 29 | 指定的业务终止方式,重认证或者强制用户下线等 |
| Called-Station-Id | 30 | 允许NAS发送被叫号码 |
| Calling-Station-Id | 31 | 允许NAS发送主叫号码 |
| NAS-Identifier | 32 | 设备主机名 |
| Acct-Status-Type | 40 | 计费报文类型,1表示开始计费报文,2表示停止计费报文,3表示实时计费报文 |
| Acct-Delay-Time | 41 | 生成计费报文花费的时间,以秒为单位 |
| Acct-Input-Octets | 42 | 上行字节数,单位为Byte、kbyte、Mbyte、Gbyte,具体使用何种单位可通过命令配置 |
| Acct-Output-Octets | 43 | 下行字节数,单位为Byte、kbyte、Mbyte、Gbyte,具体使用何种单位可通过命令配置 |
| Acct-Session-Id | 44 | 计费的连接号,对于同一个连接的开始计费、实时计费和停止计费报文,其中的连接号必须相同 |
| Acct-Authentic | 45 | 用户的认证模式,1表示RADIUS认证,2表示本地认证 |
| Acct-Session-Time | 46 | 用户的上线时间,以秒为单位 |
| Acct-Input-Packets | 47 | 上行的报文数 |
| Acct-Output-Packets | 48 | 下行的报文数 |
| Acct-Terminate-Cause | 49 | 用户连接中断的原因 |
| Acct-Multi-Session-ID | 50 | 多会话ID,用于识别日志中的相关会话 |
| Acct-Input-Gigawords | 52 | 表示上行字节数是4G(232)Byte、kbyte、Mbyte、Gbyte(单位取何值由命令配置决定)的多少倍 |
| Acct-Output-Gigawords | 53 | 表示下行字节数是4G(232)Byte、kbyte、Mbyte、Gbyte(单位取何值由命令配置决定)的多少倍 |
| Event-Timestamp | 55 | 生成计费报文的时间,以秒为单位,表示从1970年1月1日零点零分零秒以来的绝对秒数 |
| CHAP-Challenge | 60 | CHAP认证的质询字,只用于CHAP认证 |
| NAS-Port-Type | 61 | NAS的端口类型,可在BAS接口视图下配置 |
| Tunnel-Type | 64 | 隧道的协议类型,固定为3,表示L2TP隧道 |
| Tunnel-Medium-Type | 65 | 隧道承载的媒介类型,固定为1,表示IPv4 |
| Tunnel-Server-Endpoint | 67 | 隧道服务器端的IP地址 |
| Tunnel-Password | 69 | 隧道验证的密码,前两字节为SALT,后16字节为加密后的密码 |
| Tunnel-Private-Group-ID | 81 | 隧道组名 |
| Tunnel-Assignment-ID | 82 | 隧道标识名 |
| Tunnel-Preference | 83 | 隧道优先级 |
| Acct-Interim-Interval | 85 | 实时计费的间隔,以秒为单位 |
| NAS-Port-Id | 87 | 用户接入的端口号,格式为“slot=XX;subslot=XX;port=XXX;VLANID=XXXX;”或者“slot=XX;subslot=XX;port=XXX;VPI=XXX;VCI=XXXX” |
| Framed-Pool | 88 | 地址池的名称和地址段号,只对从设备的本地地址池为PPP分配IP地址有效,格式为“地址池名#地址段号” |
| Tunnel-Client-Auth-ID | 90 | 隧道认证中传递的本端用户名 |
| Tunnel_Server_Auth_id | 91 | 隧道认证中传递的服务器端用户名 |