Authorization

RADIUS umožňuje autorizáciu atribútov na užívateľa podľa definície v súboroch politiky autorizácie default.auth a default.policy.

Autorizačné atribúty sú platnými atribútmi protokolu RADIUS špecifikovanými v RFC a definovanými v súbore /etc/radius/dictionary. Autorizácia je nepovinná a závisí od toho, ako je nakonfigurovaný hardvér NAS alebo prístupový bod. Ak sa autorizačné atribúty vyžadujú, musíte ich nakonfigurovať. K autorizácii dochádza iba vtedy, ak prebehne úspešná autentifikácia.

Politiky sú konfigurovateľnými pármi atribútov používateľa a hodnôt, ktoré môžu riadiť spôsob prístupu daného používateľa k sieti. Politiky môžu byť definované ako globálne pre server RADIUS alebo špecifické pre užívateľa.

Dodávajú sa dva autorizačné konfiguračné súbory: /etc/radius/authorization/default.auth a default.policy. Súbor default.policy sa používa na párovanie prichádzajúcich paketov požiadaviek na prístup. Súbor obsahuje páry atribútov a hodnôt, ktoré sú najskôr prázdne a na požadované nastavenia je ich treba nakonfigurovať. Po autentifikácii politika rozhodne, či sa klientovi vráti paket udelenia prístupu alebo paket zamietnutia prístupu.

Okrem toho môže mať aj každý používateľ svoj vlastný súbor user_id.policy . Ak má používateľ svoj jedinečný súbor politiky vytvorený pre jeho konkrétne ID používateľa, potom sa najprv skontrolujú atribúty takéhoto súboru. Ak sa páry atribút-hodnota v súbore user_id.policy presne nezhodujú, potom sa skontroluje súbor default.policy. Ak sa dvojice atribútov v pakete požiadavky na prístup nezhodujú ani v jednom súbore, potom sa odošle paket zamietnutia prístupu. Ak sa nájde zhoda v jednom alebo v druhom súbore, klientovi bude odoslaný paket udelenia prístupu. Tak sa efektívne vytvoria dve úrovne politiky.

Súbor default.auth sa používa ako zoznam párov atribút-hodnota, ktoré sa majú vrátiť ku klientovi, akonáhle je skontrolovaná politika. Súbor default.auth obsahuje aj páry atribút-hodnota, ktoré sú spočiatku prázdne a a na požadované nastavenia je ich treba nakonfigurovať. Ak chcete nakonfigurovať požadované nastavenia autorizačných atribútov, musíte upraviť súbor default.auth alebo použiť rozhranie SMIT. Každý atribút, ktorý obsahuje hodnotu sa automaticky vráti do NAS v pakete udelenia prístupu.

Vytvorením súboru založeného na jedinečnom mene užívateľa s príponou .auth, napríklad user_id.auth, môžete tiež definovať autorizačné atribúty vrátenia špecifické pre užívateľa. Tento voliteľný súbor musí byť umiestnený v adresári /etc/radius/authorization. Je tu panel SMIT, ktorý vám umožňuje vytvoriť a upraviť každý užívateľský súbor.

Všetky autorizačné atribúty užívateľa sa odošlú späť v pakete udelenia prístupu so všetkými predvolenými autorizačnými atribútmi, ktoré sa nachádzajú v súboroch default.auth alebo global.auth.

Ak sú hodnoty v súbore default.auth a v súbore user_id.auth spoločné, potom hodnoty používateľa majú prednosť pred predvolenými hodnotami. To platí pre niektoré globálne autorizačné atribúty (služby alebo prostriedky) pre všetkých používateľov a potom pre špecifickejšie úrovne autorizácie pre konkrétnych používateľov.

Poznámka: Na kombinovanie autorizačných atribútov s autorizačnými atribútmi špecifickými pre užívateľa sa namiesto súboru default.auth používa súbor global.auth, pokiaľ sa nevyžaduje iné správanie kombinácie.

Počnúc vydaním AIX, verzia 6.1, s technologickou úrovňou 6100-02, RADIUS podporuje autorizačný súbor global.auth. Tento súbor nahrádza a vylepšuje pôvodný zámer kombinovať autorizačné atribúty špecifické pre užívateľa (definované v súboroch user_id.auth) so sadou globálnych autorizačných atribútov.

Súbor user_id.auth nebude, na rozdiel od súboru default.auth, prepísaný podobnými atribútmi, ktoré boli nájdené v autorizačných súboroch špecifických pre užívateľa, ale namiesto toho sa s nimi skombinuje, čo umožní väčšiu flexibilitu pri udržiavaní autorizácií pre užívateľov.

Ak sú v súboroch default.auth a user_id.auth file atribúty spoločné, hodnoty užívateľa prepíšu predvolené hodnoty. Toto prepísanie predvolených hodnôt poskytuje niektoré predvolené autorizačné atribúty (služby alebo prostriedky) všetkým užívateľom a následne špecifickejšej úrovni autorizácie jednotlivých užívateľov.

To isté platí pre atribúty v súbore global.auth s výnimkou toho, že nebudú prepísané atribútmi user_id.auth. Namiesto toho budú skombinované atribúty v dvoch súboroch, čo je užitočné pri zadávaní atribútov špecifických pre predajcu (VSA).

Autorizačný proces prebieha takto:

  1. V čase spustenia démona sa do pamäte načíta predvolená politika a autorizačné zoznamy zo súborov /etc/radius/authorization/default.policy, default.auth a default.auth.
  2. Autentifikuj ID používateľa a heslo.
  3. Skontrolujú sa páry atribútov a hodnôt v prichádzajúcom pakete.
    1. Skontroluj používateľský súbor user_id.auth.
    2. Ak sa nenájde nijaká zhoda, skontroluj súbor default.policy.
    3. Ak sa nenájde žiadna zhoda, potom odošlite paket zamietnutia prístupu.
  4. Uplatni autorizačné atribúty používateľa, ak nejaké existujú.
    1. Čítaj súbor /etc/radius/authorization/user_id .auth a súbor default.auth a obe položky porovnaj.
    2. Použite položku, ktorá je v súbore užívateľa nad predvolenou položkou.
    3. Skombinujte výsledné atribúty s atribútmi, ktoré sa nachádzajú v súbore global.auth.
  5. Vráťte autorizačné atribúty v pakete udelenia prístupu.