Authorization

RADIUS позволяет указать отдельные атрибуты прав доступа для каждого пользователя в файлах стратегии прав доступа default.auth и default.policy.

Атрибуты прав доступа - это допустимые атрибуты протокола RADIUS, описанные в соответствующем RFC и определенные в файле /etc/radius/dictionary. Предоставление прав доступа выполняется не всегда в зависимости от конфигурации аппаратного обеспечения NAS или точки доступа. При необходимости настройте атрибуты прав доступа. Предоставление прав доступа выполняется только после успешной идентификации.

Стратегия - это настраиваемый набор пар атрибут-значение, управляющий работой пользователей в сети. Стратегии могут применяться как на глобальном уровне для всего сервера RADIUS, так и для конкретных пользователей.

В комплект поставки входят два файла конфигурации предоставления прав доступа: /etc/radius/authorization/default.auth и default.policy. Файл default.policy применяется для обработки входящих пакетов с запросами на предоставление доступа. Изначально в этом файле содержатся пустые пары атрибут-значение, которые следует дополнительно настроить. После идентификации в соответствии со стратегией клиенту возвращается пакет разрешения доступа или запрета доступа.

Кроме того, для каждого пользователя можно создать файл ИД-пользователя.policy. Атрибуты, указанные в уникальном файле стратегии, связанном с ИД пользователя, проверяются в первую очередь. Если соответствующий набор пар атрибут-значение в файле ИД-пользователя.policy не найден, проверяется файл default.policy. Если пары атрибутов из пакета с запросом на предоставление доступа не найдены ни в одном из файлов, то клиенту возвращается пакет запрета доступа. Если совпадение найдено в одном из файлов, возвращается пакет разрешения доступа. Такой подход позволяет эффективно реализовать два уровня стратегии.

Файл default.auth содержит список пар атрибут-значение, возвращаемых клиенту после проверки стратегии. Изначально в файле default.auth также содержатся пустые пары атрибут-значение, которые следует дополнительно настроить. Вы можете непосредственно внести изменения в файл default.auth, либо настроить необходимые параметры предоставления прав доступа с помощью SMIT. Все атрибуты, для которых указаны значения, автоматически возвращаются серверу сетевого доступа (NAS) в пакете разрешения доступа.

Кроме того, атрибуты прав доступа для отдельного пользователя можно указать в файле с именем, состоящим из уникального ИД пользователя и расширения .auth, например: ИД-пользователя.auth. Этот файл должен находится в каталоге /etc/radius/authorization. Для создания таких файлов и внесения в них изменений предусмотрена отдельная панель в программе SMIT.

Атрибуты прав доступа, указанные для конкретного пользователя, возвращаются в пакете разрешения доступа вместе с атрибутами по умолчанию из файла default.auth.

Если в файлах default.auth и ИД-пользователя.auth указаны одинаковые записи, то значения пользователя имеют больший приоритет, чем значения по умолчанию. Такой подход позволяет кроме глобальных атрибутов предоставления прав доступа (службы и ресурсы), которые присваиваются всем пользователя, применять более конкретные атрибуты для отдельных пользователей.

Прим.: Для объединения атрибутов идентификации со специфичными для пользователя атрибутами идентификации вместо файла default.auth следует использовать файл global.auth, если не требуется другой вид объединения.

Начиная с AIX версии 6.1 (технологический пакет обслуживания 6100-02) RADIUS поддерживает файл идентификации global.auth. Этот файл используется для объединения атрибутов идентификации, специфичных для пользователя, (в файлах ИД-пользователя.auth) с глобальными атрибутами идентификации.

В отличие от атрибутов файла default.auth, которые переопределяются атрибутами пользовательских файлов, атрибуты файла global.auth объединяются с ними, предоставляя большую гибкость в настройке.

Если атрибут присутствует и в файле default.auth, и в файле ИД-пользователя.auth; используется значение атрибута из файла пользователя. Такое переопределение значений по умолчанию позволяет часть атрибутов идентификации (служб, ресурсов) назначить всем пользователям, а остальные назначать для каждого пользователя индивидуально.

Это справедливо и для файла global.auth за исключением того, что он не переопределяется файлом ИД-пользователя.auth. Вместо переопределения файлы объединяются. Это удобно при использовании атрибутов, определяемых поставщиком.

Процесс предоставления прав доступа выполняется следующим образом:

  1. В момент запуска демона списки идентификации и стратегии по умолчанию из файлов /etc/radius/authorization/default.policy и default.auth считываются в память.
  2. Выполняется идентификация ИД пользователя и пароля.
  3. Проверяются пары атрибут-значения, указанные во входящем пакете.
    1. Проверяется пользовательский файл ИД-пользователя.auth.
    2. Если соответствие не найдено, проверяется файл default.policy.
    3. Если соответствие снова не найдено, то отправляется пакет запрета доступа.
  4. Применяются пользовательские атрибуты прав доступа, если они указаны.
    1. Сравнивается содержимое файлов /etc/radius/authorization/ИД-пользователя.auth и default.auth.
    2. Записи из пользовательского файла переопределяют записи по умолчанию.
    3. Полученные в результате значения атрибутов объединяются с атрибутами файла global.auth.
  5. Атрибуты предоставления прав доступа возвращаются в пакете разрешения доступа.