RADIUS szerver IP tároló konfigurációja

Framed Pool attribútum

A tárolónév IP tárolót a Network Access Serveren (NAS) kell megadni. A NAS-nak meg kell felelnie a RFC2869 szabványnak, hogy a RADIUS szerver el tudjon küldeni egy Framed-Pool attribútumot egy Hozzáférés-elfogadás csomagban (type 88 attribútum). A rendszeradminisztrátornak be kell állítania a NAS-t és frissítenie kell a felhasználó felhatalmazási attribútumait az alábbi módon: megadja a Framed-Pool attribútumot a globális default.auth fájlban vagy a user.auth fájlban a RADIUS szerveren. A RADIUS szerveren lévő szótárfájl tartalmazza ezt az attribútumot:

ATTRIBUTE    Framed-Pool    88       string

Ha a NAS nem tud több címtárolót használni, akkor figyelmen kívül hagyja ezt az attribútumot. A NAS címtárolója IP címek listáját tartalmazza. A NAS dinamikusan felveszi a megadott tárolóban meghatározott egyik IP címet és hozzárendeli a felhasználóhoz.

Szállító-specifikus attribútumok

Néhány független szoftverszállító (ISV) nem tudja használni a Framed-Pool attribútumot, de meg tud adni IP címtárolót. A RADIUS szerver a Szállító-specifikus attribútum (VSA) modell segítségével ki tudja használni ezeket a címtárolókat. A Cisco NAS például egy Cisco-AVPair nevű attribútumot biztosít. A RADIUS szerveren lévő szótárfájl tartalmazza ezt az attribútumot:

VENDOR     Cisco           9
ATTRIBUTE  Cisco-AVPair    1       string

Amikor a NAS egy Hozzáférés kérés csomagot küld, az tartalmazza ezt az Cisco-AVPair=”ip:addr-pool=tárolónév” attribútumot, ahol a tárolónév a NAS-on megadott címtároló neve. A kérés hitelesítése és felhatalmazása után a RADIUS szerver visszaküldi az attribútumot a Hozzáférés elfogadása csomagban. A NAS ezután használhatja a megadott tárolót az IP cím felhasználó számára kiosztásához. A rendszeradminisztrátornak be kell állítania a NAS-t és frissítenie kell a felhasználó felhatalmazási attribútumait az alábbi módon: megadja a VAS attribútumot a globális default.auth fájlban vagy a RADIUS szerveren lévő user.auth fájlban.

Radius szerveroldali IP tárolás

A RADIUS szerver beállítható úgy, hogy az IP címek tárolójából állítson elő egy IP címet. Az IP címe a Hozzáférés elfogadás csomag Framed-IP-Address attribútumában kerül visszaküldésre.

A rendszeradminisztrátor az SMIT felület segítségével megadhat egy IP címtárolót. A címeket az /etc/radius/ippool_def fájl tárolja. A tárolónevek az etc/radius/clients fájlban vannak megadva. A rendszeradminisztrátornak a NAS portszámot is be kell állítania. A RADIUS szerver démon az etc/radius/clients és /etc/radius/ippool_def fájl információit használja az adatfájlok létrehozásához. A démon elindulása után a rendszeradminisztrátor nem módosíthatja és nem vehet fel tárolóneveket vagy IP címtartományokat, amíg a RADIUS szerverek leállításra nem kerülnek. A RADIUS szerver démon indításkor beolvassa a konfigurációs fájlt (/etc/radius/radius.conf) és ha az IP kiosztás engedélyezve van (Enable_IP_Pooling=YES), akkor On értéket ad a globális IP kiosztás jelzőnek (IP_pool_flag). A démon ezután ellenőrzi, hogy a poolname.data fájl létezik-e. Ha létezik, akkor beolvassa a fájlt és az információkat az elosztott memóriában eltárolja. Ezután a kliensektől érkező kérések alapján frissíti a fájlt és az elosztott memóriát. Ha a fájl nem létezik, akkor a démon az etc/radius/clients és a /etc/radius/ippool_def fájlban lévő információk segítségével létrehoz egy új fájlt. A poolname.data fájl maximális mérete 256 MB (AIX szegmensméretkorlát). Ha a poolname.data fájl nagyobb, mint 256 MB, akkor a RADIUS szerver naplózza a hibaüzenetet és kilép.

A démon az /etc/radius/ippool_def fájlból IP tároló részleteket kér le és az elosztott memóriában minden tárolónévhez fenntart egy táblázatot az IP címekkel. A táblázatban NAS-IP-address, NAS-port és IN USE jelző bejegyzések találhatók. A démon fenntart egy kivonattáblát, amelynek a kulcsa a NAS-IP NAS port. Ha több felhasználótól érkezik kérés, akkor az UDP sorba rakja a kéréseket, és a démona a kérésből lékéri a NAS-IP és NAS port adatokat. Ezen információk segítségével ellenőrzi, hogy a tárolónév meg lett-e adva a NAS-hoz etc/radius/clients fájl információinak kiolvasásával.

A démon megpróbál a tárolóból egy nem használt címet lekérni. Ha van nem használt cím, akkor a NAS-IP és NAS-port jelző “használatban van” jelzővel látja el, és ez visszaküldésre kerül a RADIUS szerverhez. A démon az IP címet beteszi a Framed-IP-Address attribútumba, és az elfogadás csomagban visszaküldi a NAS-nak. A poolname.data fájl szintén frissítésre kerül, hogy szinkronban legyen az elosztott memóriában lévő információkkal.

Ha a tároló nem létezik, vagy létezik de nem tartalmaz több nem használt címet, akkor a RADIUS szerver hibát kap. A Nem osztható ki IP cím hiba bekerül a naplófájlba és a RADIUS szerver egy Hozzáférés visszautasítva csomagot küld a NAS-nak.

Hibakódok:

• NOT_POOLED – A nas_ip-hez nincs megadva tároló.
• POOL_EXHAUSTED – A nas_ip-hez meg van adva tároló, de a benne lévő címek már használatban vannak.

Amikor a hitelesítési kérés megérkezik egy NAS-ról, és a NAS port kombináció már rendelkezik egy kiosztott IP-címmel, a démon visszaadja az előző kiosztott címet tárolónak azzal, hogy az IN USE jelzőt Off értékre állítja, valamint törli a NAS-IP-cím és NAS-port bejegyzéseket a táblázatban. Ezután új IP-címet oszt ki a tárolóból.

Az IP-cím szintén visszaküldésre kerül a tárolóba, amikor a RADIUS szerver Számlázás leállítása csomagot kap a NAS-tól. A Számlázás leállítása csomagnak tartalmaznia kell a NAS-IP-cím és a NAS-port megjegyzéseket. A démon a következő esetekben hozzáfér az ippool_mem fájlhoz:

• Egy új IP cím kérésére szolgáló kérés érkezik. A HASZNÁLATBAN jelzőt igazra állítja.
• Egy Accounting-Stop csomag érkezik. Ez felszabadítja az IP címet a “használatban” jelző false-ra állításával.

Minden esetében a megosztott memória rendszerhívások biztosítják, hogy a megosztott memóriában lévő adatok és a poolname.data fájlok szinkronban legyenek. A rendszeradminisztátor az IP kiosztást be- (ON) vagy kikapcsolhatja (OFF) a RADIUS szerver konfigurációs fájl (radiusd.conf) Enable_IP_Pooling paramétere segítségével. Ez akkor hasznos, ha a rendszeradminisztrátor egy hozzárendelt IP címmel rendelkezik a globális default.auth vagy user.auth fájlban. Hozzárendelt IP cím használatához a rendszeradminisztrátornak be kell állítani az Enable_IP_Pool = NO értéket.

Ha az IP-tárolókezelés értéke True, a rendszeradminisztrátor megadott IP-címet is a globális default.auth vagy user.auth részeként vagy az Access-Request csomag részeként. A RADIUS szerver behelyettesíti ezt az IP-címet az adott NAS-hoz meghatározott nevű tárolóból kiosztott címmel. Ha a tároló összes IP-címe foglalt, a szerver naplózza a hibát (tároló megtelt), és egy Access-Reject (hozzáférés elutasítva) csomagot küld. A szerver figyelmen kívül hagy minden, az auth fájlokban megadott IP-címet.

Ha az IP-tárkezelés értéke True és érvényes tárolónév van megadva a NAS-hoz, akkor amikor egy Access-Request érkezik arról a NAS IP-címről, és nem rendelkezik meghatározott NAS porttal, a szerver egy Access-Reject csomagot küld.

Az IP-tároló SMIT paneljei

A Klienskonfigurációban a Kliens megadása panelben megadhat egy szabadon választott Tárolónevet. A név maximum 64 karakterből állhat. Ha a Tárolónév üres, az IP tárolókezelés nem zajlott le és a RADIUS szerver a rendszeradminisztrátor által a Framed-IP-Address hitelesítési attribútumban megadott IP-címet rendeli hozzá.

Ha az IP tároló van kiválasztva, a következő beállítások jelennek meg:

• Minden IP-tároló listázása
• IP-tároló létrehozása
• IP-tároló jellemzőinek módosítása/megjelenítése
• IP-tároló törlése
• IP-tároló törlése egy klienshez
• A teljes IP-tároló törlése

Minden IP-tároló listázása: Ezzel a beállítással kilistázható a Tárolónév, az IP-címek indulási tartománya és az IP-címek befejezési tartománya.

IP-tároló létrehozása: Ezzel a beállítással adható meg a tároló neve, az indulási és a befejezési tartomány. Ezek az adatok az ippool_def fájl végéhez adódnak hozzá. A rendszer ellenőrzéseket végez annak biztosítására, hogy ne fordulhassanak elő ismétlődő tárolónevek és hogy az IP-címtartományok nem érnek össze. Ezt a műveletet csak akkor lehet végrehajtani, ha a RADIUS szerverdémonok nem futnak.

IP-tároló jellemzőinek módosítása/megjelenítése: Ez a beállítás megjeleníti a tárolónevek listáját egy előugró panelben. Ebből a panelből ki kell választania egy adott tárolónevet. Amikor ez megtörténik, megjelenik a választott névvel rendelkező panel. Ha Entert nyom, a tárolónév adatai frissítésre kerülnek az ippool_def fájlban. Ezt a műveletet csak akkor lehet végrehajtani, ha a RADIUS szerverdémonok nem futnak.

IP-tároló törlése: Ennek a lehetőségnek a kiválasztására megjelenik a kiválasztható tárolónevek listája. Ha kiválaszt egy nevet, akkor a Bizonyos benne? előugró kérdésnél meg kell erősítenie törlési szándékát; csak ezután törlődik a kiválasztott tárolónév. Meghívódik az rmippool parancsfájl a kiválasztott tárolónév törlésére az ippool_def fájlból. Ezt a műveletet csak akkor lehet végrehajtani, ha a RADIUS szerverdémonok nem futnak.

IP-tároló törlése egy klienshez: Ez a lehetőség 0 értékre állítja a NAS-hoz tartozó IP-címek IN-USE bejegyzését, ami azt jelenti, hogy most minden, a NAS-hoz tartozó IP-cím rendelkezésre áll. Ezt a művelet csak akkor történhet meg, ha a RADIUS szerverdémonok nem futnak.

A teljes IP-tároló törlése: Ennek a lehetőségnek a kiválasztásakor megjelenik egy Bizonyos benne? előugró ablak, ahol meg kell erősítenie szándékát a teljes ippool_mem fájl kiürítése előtt. Ezt a műveletet csak akkor lehet végrehajtani, ha a RADIUS szerverdémonok nem futnak.