Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
Présentation générale
Attributs RADIUS - Présentation générale ccnp_cch ccnp_cch
2
Sommaire • Introduction • Présentation des attributs RADIUS
- Attributs IETF et attributs spécifiques constructeur - Format des paquets RADIUS Fichiers RADIUS - Documentation support • Attributs Radius IETF Attributs IETF supportés Liste exhaustive des descriptions des attributs RADIUS ccnp_cch
3
Introduction Historique Release Modification Cisco IOS For information about feature support in Cisco IOS software, use Cisco Feature Navigator. Cisco IOS XE Release 2.1 This feature was introduced on Cisco ASR 1000 Series Routers. Les attributs RADIUS (Remote Dial-In User Service) sont utilisés pour définir des élé- ments spécifiques d'authentification, d'autorisation et d'accounting (AAA) dans un pro- fil utilisateur qui est stocké sur le serveur RADIUS. Ce document liste les attributs cou- ramment supportés dans l'IOS Cisco. Ce document comprend les sections suivantes: Présentation générale des attributs RADIUS Attributs RADIUS IETF Attributs RADIUS spécifiques constructeur (VSA) Attributs RADIUS spécifiques constructeur (VSA) et valeurs de l'attribut RADIUS Disconnect-Cause Valeurs de l'attribut RADIUS Disconnect-Cause Présentation générale des attributs RADIUS Cette section contient des informations importantes pour comprendre comment les at- tributs RADIUS échangent des informations AAA entre un client et un serveur et con- tient les parties suivantes: Attributs IETF et attributs spécifiques constructeur Format des paquets RADIUS Fichiers RADIUS Documentation support ccnp_cch
4
Attributs IETF et attributs spécifiques constructeur
Les attributs IETF (Internet Engineering Task Force) sont l'ensemble original de 255 at- tributs standards qui sont utilisés pour l'information AAA entre un client et un serveur. Comme les attributs IETF sont standards, les données d'attribut sont prédéfinies et bien connues ainsi tous les clients et serveurs qui échangent des informations AAA via les at- tributs IETF doivent s'accorder sur des données d'attribut comme la signification exacte des attributs et les valeurs limites pour chaque attribut. Les attributs spécifiques constructeur (VSA) sont dérivés d'un attribut IETF (vendor-spe- cific, attribut 26). L'attribut 26 autorise un constructeur à créer 256 attributs addition- nels selon leurs besoins. Ceci signifie qu'un constructeur peut créer un attribut qui ne correspond à aucune donnée d'un quelconque attribut IETF et l'encapsule derrière l'at- tribut 26; ainsi l'attribut nouvellement crée est accepté si l'utilisateur accepte cet attri- but 26. Format des paquets RADIUS Les données entre un serveur RADIUS et un client RADIUS sont échangées dans des pa- quets RADIUS. Les champs de données sont transmis de gauche à droite. La figure suivante montre les champs d'un paquet RADIUS. 8 16 24 32 Code Identifier Length Authenticator Valeurs Chaque paquet RADIUS contient les informations suivantes: Code - Le champ code est codé sur un octet; il identifie un des types suivants de pa- quets RADIUS Access-Request (1) Access-Accept (2) - Access-Reject (3) Accounting-Request (4) Accounting-Response (5) Identifier - Le champ identifier est codé sur un octet; Il permet au serveur RADIUS de faire la correspondance entre les requêtes et les réponses et détecte les paquets du- pliqués. ccnp_cch
5
Length - Le champ Length est codé sur deux octets, il spécifie la longueur totale du
paquet Authenticator - Le champ authenticator est codé sur 16 octets. L'octet le plus signi- ficatif est transmis en-tête; il est utilisé pour authentifier la réponse du serveur RADIUS. Il y a deux types "d'authentificator" possibles: Request-Authentication: disponible dans les paquets Access-Request et Accoun- ting-Request Response-Authentication: disponible dans les paquets Access-Reject, Access-Challenge et Accounting-Response. Types de paquets RADIUS La liste suivante définit les différents types de paquets RADIUS qui peuvent contenir des informations d'attribut. Access-Request - Transmis à partir d'un client vers un serveur RADIUS. Le paquet contient les informations qui permettent au serveur RADIUS de déterminer s'il autorise l'accès à un serveur réseau particulier (NAS) lequel autorisera l'accès à l'utilisateur. Tout utilisateur réalisant une authentification doit soumettre un paquet Access-Re- quest vers le serveur RADIUS. Une fois que le paquet Access-Request est reçu, le ser- veur RADIUS doit acheminer une réponse. Access-Accept - Une fois que le serveur RADIUS a reçu un paquet Access-Request il doit transmettre un paquet Access-Accept si toutes les valeurs des attributs sont acce- ptables. Le paquet Access-Accept fournit l'information de configuration nécessaire pour le client pour fournir le service à l'utilisateur. Access-Reject - Une fois que le serveur RADIUS reçoit le paquet Access-Request, il doit transmettre un paquet Access-Reject si une seule des valeurs des attributs n'est pas acceptable. Access-Challenge - Une fois que le serveur RADIUS reçoit un paquet Access-Request, il peut transmettre au client un paquet Accept-Challenge qui requiert une réponse. Si le client ne sait pas répondre ou si le paquet est invalide serveur RADIUS ignore les pa- quets. Si le client répond au paquet un nouveau paquet Access-Request doit être trans- mis avec le contenu Access-Request original. Accounting-Request - Transmis par un client vers un serveur d'accounting RADIUS qui fournit l'information d'accounting. Si le serveur RADIUS enregistre avec succès le paquet Acconuting-Request il doit transmettre un paquet Accounting-Response. Accounting-Response - Transmis par un serveur d'accounting RADIUS vers le client pour indiquer que le paquet Accounting-Request a été reçu et enregistré avec succès. ccnp_cch
6
Fichiers RADIUS Comprendre les types de fichiers utilisés par RADIUS est important pour la communi-
cation d'information AAA d'un client vers un serveur RADIUS. chaque fichier définit un niveau d'authentification ou d'autorisation pour l'utilisateur. Le fichier dictionnaire dé- finit quels attributs le NAS utilisateur peut implémenter; le fichier clients définit quels utilisateurs sont autorisés à faire des requêtes vers le serveur RADIUS. Les fichiers uti- lisateurs définissent quelles requêtes utilisateur le serveur RADIUS authentifiera sur la base des données de sécurité et de configuration. Fichier Dictionnaire Fichier Clients Fichier Utilisateur Fichier Dictionnaire Un fichier dictionnaire fournit une liste d'attributs qui dépendent des attributs suppor- tés par votre NAS. Cependant vous pourrez ajouter votre propre ensemble d'attributs à votre dictionnaire pour des solutions personnalisées. Il définit les valeurs d'attributs vous permettant aussi d'interpréter l'attribut comme une recherche de tri. Un fichier dictionnaire contient les informations suivantes. Name - Chaîne ASCII nom de l'attribut, par exemple User-Name. ID - Identificateur numérique de l'attribut. Par exemple l'attribut User-Name à l'ID 1. Valeur-Type - Chaque attribut peut être spécifié avec un de ces cinq types de valeur: - abinary - 0 à 20 octets. - date - valeur 32 bits "big endian". Par exemple nombre de secondes depuis le Janvier à 00:00:00 GMT. - ipaddr - 4 octets dans l'ordre d'une adresse réseau integer - Valeur 32 bits dans l'ordre octet de poids fort en premier string - 0 à 253 octets. Quand le type de données pour un attribut particulier est un entier, vous pouvez optionnellement étendre l'entier pour qu'il soit équivalent à une chaîne. L'extrait de dictionnaire suivant inclut un attribut basé entier et ses valeurs correspondantes # dictionary sample of integer entry # ATTRIBUTE Service-Type integer VALUE Service-Type Login VALUE Service-Type Framed VALUE Service-Type Callback-Login VALUE Service-Type Callback-Framed VALUE Service-Type Outbound VALUE Service-Type Administrative VALUE Service-Type NAS-Prompt VALUE Service-Type Authenticate-Only VALUE Service-Type Callback-NAS-Prompt 9 VALUE Service-Type Call-Check VALUE Service-Type Callback-Administrative 13 ccnp_cch
7
ccnp_cch Fichier Clients
Un fichier clients est important car il contient une liste des clients RADIUS qui sont au- torisés à transmettre des requêtes d'authentification et d'autorisation au serveur RADIUS. Pour recevoir l'authentification, le nom et la clé d'authentification que le client transmet vers le serveur doivent correspondre exactement avec les données contenues dans le fichier Clients. L'extrait suivant est un exemple de fichier Clients. La clé mon- trée dans cet exemple doit être la même que celle de la commande radius-server key somesecret. #Client Name Key # : test nas bananas nas MoNkEys nas07.foo.com SomeSecret Fichier Users Un fichier RADIUS Users contient une entrée pour chaque utilisateur que le serveur RADIUS authentifiera; chaque entrée qui est également référencée comme profil utilisa- teur, établit un lien avec l'attribut auquel un utilisateur peut accéder. La première ligne de tout profil utilisateur est toujours la ligne "user access"; ceci veut dire que le serveur doit vérifier les attributs sur la première ligne avant de donner accès à l'utilisateur. La première ligne contient le nom de l'utilisateur qui peut avoir 252 ca- ractères suivi de l'information d'authentification tel que le mot de passe de l'utilisateur. Des lignes additionnelles qui sont associées à la ligne user access donnent l'attribut de réponse transmis vers le serveur ou le client requérant. Les attributs transmis dans la réponse doivent être définis dans le fichier Dictionnaire. Quand vous regardez le fichier Users, notez que les données à gauche du signe égal cor- respondent à un attribut défini dans le fichier Dictionnaire et que les données à droite du signe égal sont les données de configuration. Note: une ligne vide ne peut pas être insérée n'importe où dans un profil utilisateur. Ce qui suit est un exemple de profil utilisateur RADIUS (format Merit Damon). Dans cet exemple, le nom de l'utilisateur est cisco.com, le mot de passe est cisco et l'utilisateur peut accéder à cinq attributs Tunnel. # This user profile includes RADIUS tunneling attributes cisco.com Password="cisco" Service-Type=Outbound Tunnel-Type = :1:L2TP Tunnel-Medium-Type = :1:IP Tunnel-Server-Endpoint = :1: Tunnel-Password = :1:"welcome" Tunnel-Assignment-ID = :1:"nas" ccnp_cch
8
Documentation de support
Pour plus d'information sur les attributs IETF et Propriétaire-Constructeur, référez-vous aux documents suivants: • Cisco AAA Implementation Case Study • IETF RADIUS RFCs – RFC 2865, Remote Authentication Dial In User Service (RADIUS) – RFC 2866, RADIUS Accounting – RFC 2867, RADIUS Accounting Modifications for Tunnel Protocol Support – RFC 2868, RADIUS Attributes for Tunnel Protocol Support – RFC 2869, RADIUS Extensions • RADIUS Vendor-Specific Attributes Voice Implementation Guide Attributs RADIUS IETF Note: Dans la release 12.2 de l'IOS Cisco pour les attributs RADIUS tunnel, 32 ensem- bles de tunnels marqués sont supportés pour L2TP. Cette section comprend les parties suivantes: Attributs RADIUS IETF supportés Liste exhaustive des descriptions des attributs RADIUS Attributs RADIUS IETF supportés Le tableau suivant liste les attributs IETF RADIUS supportés par Cisco et la release dans laquelle ils sont implémentés. Dans les cas où l'attribut a un format de sécurité spécifique serveur, le format est spécifié. Numéro Attribut IETF 11.1 11.2 11.3 11.3A 11.3T 12.0 12.1 12.2 1 User-Name oui 2 User-Password 3 CHAP-Password 4 NAS-IP Address 5 NAS-Port 6 Service-Type 7 Framed-Protocol 8 Framed-IP-Address 9 Framed-IP-Netmask 10 Framed-Routing 11 Filter-Id 12 Framed-MTU ccnp_cch
9
ccnp_cch Numéro Attribut IETF 11.1 11.2 11.3 11.3A 11.3T 12.0 12.1
12.2 13 Framed-Compression oui 14 Login-IP-Host 15 Login-Service 16 Login-TCP-Port 18 Reply-Message 19 Callback-Number non 20 Callback-ID 22 Framed-Route 23 Framed-IPX-Network 24 State 25 Class 26 Vendor-Specific 27 Session-Timeout 28 Idle-Timeout 29 Termination-Action 30 Called-Station-Id 31 Calling-Station-Id 32 NAS-Identifier 33 Proxy-State 34 Login-LAT-Service 35 Login-LAT-Node 36 Login-LAT-Group 37 Framed-AppleTalk-Link 38 Framed-AppleTalk- Network 39 Framed-AppleTalk-Zone 40 Acct-Status-Type 41 Acct-Delay-Time 42 Acct-Input-Octets 43 Acct-Output-Octets 44 Acct-Session-Id 45 Acct-Authentic 46 Acct-Session-Time 47 Acct-Input-Packets 48 Acct-Output-Packets 49 Acct-Terminate-Cause 50 Acct-Multi-Session-Id ccnp_cch
10
ccnp_cch Numéro Attribut IETF 11.1 11.2 11.3 11.3A 11.3T 12.0 12.1
12.2 51 Acct-Link-Count non oui 52 Acct-Input-Gigawords 53 Acct-Output-Gigawords 55 Event-Timestamp 60 CHAP-Challenge 61 NAS-Port-Type 62 Port-Limit 63 Login-LAT-Port 64 Tunnel-Type1 65 Tunnel-Medium-Type1 66 Tunnel-Client-Endpoint 67 Tunnel-Server-Endpoint1 68 Acct-Tunnel-Connection-ID 69 Tunnel-Password1 70 ARAP-Password 71 ARAP-Features 72 ARAP-Zone-Access 73 ARAP-Security 74 ARAP-Security-Data 75 Password-Retry 76 Prompt 77 Connect-Info 78 Configuration-Token 79 EAP-Message 80 Message-Authenticator 81 Tunnel-Private-Group-ID 82 Tunnel-Assignment-ID1 83 Tunnel-Preference 84 ARAP-Challenge-Response 85 Acct-Interim-Interval 86 Acct-Tunnel-Packets-Lost 87 NAS-Port-ID 88 Framed-Pool 90 Tunnel-Client-Auth-ID2 91 Tunnel-Server-Auth-ID 200 IETF-Token-Immediate ccnp_cch
11
1. Cet attribut RADIUS est en conformité avec les deux documents IETF drafts sui-
vants: RFC 2868 RADIUS Attributes for Tunnel Protocol Support et RFC 2867 RADIUS Accounting Modifications for Tunnel Protocol Support Cet attribut RADIUS est en conformité avec le RFC 2865 et le RFC Liste exhaustive des descriptions des attributs RADIUS Le tableau suivant liste et décrit les attributs RADIUS IETF. Dans les cas ou l'attribut a un format de sécurité spécifique serveur, le format est spécifié. Numéro Attribut IETF Description 1 User-Name Indique le nom de l'utilisateur étant authentifié par le serveur RADIUS. 2 User-Password Indique le mot de passe de l'utilisateur ou l'entrée de l'utilisateur après Access-Challenge. Les mots de passe supérieurs à 16 caractères sont cryptés en utilisant les spécifications RFC 2865. 3 CHAP-Password Indique la valeur la réponse fournie par un utilisateur PPP CHAP en réponse à un Access-Challenge. 4 NAS-IP-Address Spécifie l'adresse IP du serveur d'accès réseau qui de-mande l'authentification. La valeur par défaut est /0. 5 NAS-Port Indique le numéro de port physique du serveur d'accès réseau qui authentifie l'utilisateur. La valeur NAS-Port (32 bits) consiste en une ou deux valeurs 16 bits (selon les paramètres de la commande radius-server exten-ded-portnames. Chaque nombre de 16 bits doit être affiché comme un entier décimal de 5 chiffres pour être interprété comme suit: Pour des lignes de terminaux asynchrones et des inter- faces virtuelles asynchrones, la valeur est 00ttt où ttt est le numéro de ligne ou de l'unité d'interface asyn- chrone. Pour des interfaces de réseau synchrones ordinaires, la valeur est 10xxx. Pour les canaux ou l'interface RNIS primaire, la valeur est 2ppcc. Pour les canaux ou l'interface RNIS de base, la valeur est 3bb0c. Pour les autres types d'interfaces la valeur est 6nnss. ccnp_cch
12
ccnp_cch Numéro Attribut IETF Description 6 Service-Type
Indique le type de service demandé ou le type de service fourni. Dans une requête: Framed pour des connexions PPP ou SLIP. Administrative-user pour la commande enable. Dans une réponse: Login - Faire une connexion. Framed - Démarrer SLIP ou PPP. Administrative-User - Démarrer un commande EXEC ou enable ok. Exec User - Démarrer une session EXEC. Le type de service est indiqué par une des valeur numé- riques suivants: 1: Login 2: Framed 3: Callback-Login 4: Callback-Framed 5: Outbound 6: Administrative 7: NAS-Prompt 8: Authenticate Only 9: Callback-NAS-Prompt 7 Framed-Protocol Indique le format de trame à utiliser pour un accès "Framed". Aucun autre format de trame n'est autorisé. Le format de trame est indiqué par une des valeurs nu- mériques suivantes: 1: PPP 2: SLIP 3: ARA 4: Protocole propriétaire Gandalf single-link/multilink 5: Propriétaire Xylogics IPX/SLIP 8 Framed-IP-Address Indique l'adresse Ip à configurer pour l'utilisateur en transmettant l'adresse IP d'un utilisateur au serveur RADIUS dans un paquet Access-Request. Pour valider cette commande utilisez la commande radius-server attribute 8 include-inacces-request en mode de confi- guration global. 9 Framed-IP-Network Indique le masque IP à configurer pour l'utilisateur quand l'utilisateur est un routeur vers un réseau. Cette valeur d'attribut résulte en une route statique devant être ajouté pour Framed-IP-Address avec le masque spécifié. ccnp_cch
13
ccnp_cch Numéro Attribut IETF Description 10 Framed-Routing
Indique la méthode de routage pour l'utilisateur quand l'utilisateur est un routeur vers un réseau. Seules les valeurs "None" et "Send and Listen" sont supportées pour cet attribut. La méthode de routage est indiquée par les valeurs nu- mériques suivantes: 0: None 1: Transmettre les paquets de routage 2: Ecouter les paquets de routage 3: Transmettre et écouter les paquets de routage 11 Filter-Id Indique le nom de la liste de filtres pour l'utilisateur et a le format suivant:%d,%d.in ou %d.out. Cet attribut est associé avec la commande "service-type" la plus récente. Pour Login et EXEC, utilisez %d ou %d.out comme liste d'accès en sortie d'interface et %d.in pour liste d'accès en entrée. Les numéros sont codés par le protocole au- quels ils font référence. 12 Framed-MTU Indique le MTU (Maximum Transmit Unit) qui peut être configuré pour l'utilisateur quand le MTU n'est pas né- gocié par PPP ou par d'autres moyens. 13 Framed-Compression Indique un protocole de compression utilisé pour la liai- son. Cet attribut est le résultat de "/compress" ajouté à l'autocommande PPP ou SLIP générée pendant l'autori- sation EXEC. Non couramment implémenté pour des autorisations non-EXEC. Le protocole de compression est indiqué par les valeurs numériques suivantes: 1: Compresion en-tête TCP/IP Van Jacobson 2: Compression en-tête IPX 14 Login-IP-Host Indique le host auquel l'utilisateur sera connecté quand l'attribut Login-Service est inclus. (Ceci débute immé- diatement après le login). 15 Login-Service Indique le service qui doit être utilisé pour connecter l'utilisateur au host de login. Le service est indiqué par une des valeurs numériques suivantes: 0: Telnet 1: Rlogin 2: TCP-Clear 3: PortMaster 4: LAT 16 Login-TCP-Port Définit le port TCP avec lequel l'utilisateur doit être con- necté quand l'attribut Login-Service est présent. 18 Reply-Message Indique le texte qui doit être affiché pour l'utilisateur via le serveur RADIUS. Vous pouvez inclure cet attribut dans le fichier Users; cependant vous ne pouvez pas dé- passer 16 entrées Reply-Message par profil. ccnp_cch
14
ccnp_cch Numéro Attribut IETF Description 19 Callback-Number
Définit le numéro à utiliser pour le rappel. 20 Callback-ID Définit le nom (constitué de un ou plusieurs octets) du lieu devant être appelé et devant être interprété par le serveur d'accès réseau. 22 Framed-Route Fournit l'information de routage à configurer pour l'utili- sateur sur ce serveur d'accès réseau. Le format RADIUS RFC (net/bits [router [metric]]) et le masque avec la no- tation ancienne (net mask [router [metric]]) sont sup- portés. Si le champ router est omis ou égal à 0, l'adresse de l'extrémité IP est utilisée. Les métriques sont généra- lement ignorées. Cet attribut est placé dans les paquets Access-Request. 23 Frame-IPX-Network Définit le numéro de réseau IPX configuré pour l'utilisa- teur. 24 State Permet le maintien de l'information "state" entre le ser- veur d'accès réseau et le serveur RADIUS. Cet attribut est applicable uniquement dans challenges CHAP. 25 Class (Accounting) Valeur arbitraire que le serveur d'accès ré- seau inclut dans tous les paquets d'accounting pour cet utilisateur s'il est fourni par le serveur RADIUS. 26 Vendor-Specific Permet aux constructeurs de supporter leurs propres attributs étendus pour usage général. L'implémentation RADIUS Cisco supporte une option spécifique construc- teur utilisant le format recommandé dans la spécifica- tion. Le vendor-ID Cisco est 9 et l'option supportée a le vendor-type égal à 1 laquelle est nommée "cisco-avpair". La valeur est une chaîne au format: protocol : attribute sep value "Protocol" est une valeur de l'attribut Cisco "protocol" pour un type particulier d'autorisation. "Attribute" et "Value" sont une paire AV appropriée définie dans la spécification TACACS+ Cisco et "sep" est égal à "=" pour les attributs obligatoires et "*" pour les attributs option- nels. Ceci autorise l'utilisation de l'ensemble complet des fonctionnalités TACACS+ pour l'autorisation à être utilisé pour RADIUS. Par exemple: cisco-avpair= "ip:addr-pool=first" cisco-avpair= "shell:priv-lvl=15" Le premier exemple entraine l'activation de la fonction- nalité Cisco "multiple named ip address pools" pendant l'autorisation IP (pendant l'affectation d'adresse PPP IPCP). Le second exemple l'accès immédiat aux com- mandes EXEC pour un utilisateur qui se loggue à partir d'un serveur d'accès réseau. 27 Session-Timeout Fixe le nombre maximum de secondes de service à four- nir à l'utilisateur avant que la session se termine. Cette valeur d'attribut devient le "absolute-timeout" par utili- sateur. ccnp_cch
15
ccnp_cch Numéro Attribut IETF Description 28 Idle-Timeout
Fixe le nombre maximum de secondes consécutives d'inactivité de connexion autorisé pour l'utilisateur avant que la session se termine. Cette valeur d'attribut devient le "session-timeout" par utilisateur. 29 Termination-Action La fin est indiquée par une des valeurs numériques suivantes: 0: Valeur par défaut 1: Requête RADIUS 30 Called-Station-Id (Accounting) Autorise le serveur d'accès réseau à trans- mettre le numéro de téléphone appelé par l'utilisateur dans le paquet Access-Request ( en utilisant le DNIS (Dialed Number Identification Service) ou un technologie similaire). Cet attribut est uniquement supporté avec le RNIS et les appels modem sur Cisco AS5200 s'il est uti- lisé avec un accès RNIS primaire. 31 Calling-Station-Id mettre le numéro de téléphone appelant dans le paquet Access-Request ( en utilisant le ANI (Automatic Number Identification ) ou un technologie similaire). Cet attribut est uniquement supporté avec le RNIS et les appels mo- dem sur Cisco AS5200 s'il est utilisé avec un accès RNIS primaire. 32 NAS-Identifier Chaîne identifiant le serveur d'accès réseau à l'origine du paquet Access-Request. Utilisez la commande radius-server attribute 32 include-in-access-req en mode de configuration global pour transmettre l'attribut RADIUS 32 dans un paquet Access-Request ou Accoun- ting-Request. Par défaut le FQDN est transmis dans l'at- tribut quand le format n'est pas spécifié. 33 Proxy-State Attribut qui peut transmis par le serveur proxy vers un autre serveur lors de l'acheminement des paquets Access-Request; celui doit être retourné inchangé dans les paquets Access-Accept, Access-Reject ou Access-Challenge et retiré par le serveur proxy avant de trans- mettre la réponse au serveur d'accès réseau. 34 Login-LAT-Service Indique le système avec lequel l'utilisateur doit être con- necté avec LAT. Cet attribut est uniquement disponible en mode EXEC. 35 Login-LAT-Node Indique le nœud avec l'utilisateur doit être automatique- ment connecté avec LAT. 36 Login-LAT-Group Identifie les codes de groupe LAT que cet utilisateur est autorisé à utiliser. 37 Framed-AppleTalk-Link Indique le numéro de réseau AppleTalk qui doit être uti- lisé pour les liaisons série vers l'utilisateur qui est un autre routeur AppleTalk. 38 Framed-AppleTalk-Network Indique le numéro de réseau AppleTalk que le serveur d'accès réseau utilise pour allouer un nœud AppleTalk à l'utilisateur. 39 Framed-AppleTalk-Zone Indique la "AppleTalk Default Zone" à utiliser pour cet utilisateur. ccnp_cch
16
ccnp_cch Numéro Attribut IETF Description 40 Acct-Status-Type
(Accounting) Indique si ce paquet Accounting-Request marque le début du service utilisateur (start) ou la fin (stop). 41 Acct-Delay-Time (Accounting) Indique depuis combien de secondes le client essaie de transmettre un enregistrement particu- lier. 42 Acct-Input-Octets (Accounting) Indique combien d'octets ont été reçus venant du port depuis que ce service a été fourni. 43 Acct-Output-Octets (Accounting) Indique combien d'octets ont été reçus transmis ver le port depuis que ce service a été délivré. 44 Acct-Session-Id (Accounting) Identifieur d'accounting unique qui rend plus facile la correspondance entre les enregistrements de début et de fin dans un fichier log. Les numéros de Acct-Session-ID recommencent à 1 chaque fois que le routeur est remis sous-tension ou que le logiciel est re- chargé. Pout transmettre cet attribut dans un paquet access-request, utilisez la commande radius-server attribute 44 include-in-access-req en mode de confi- guration global. 45 Acct-Authentic (Accounting) Indique comment l'utilisateur a été authen- tifié soit par RADIUS soit par le serveur d'accès réseau ou un autre protocole d'authentification distant. Cet at- tribut est fixé à "radius" pour les utilisateurs authenti- fiés par RADIUS; "remote" pour TACACS+ et Kerberos ou "local" pour les méthodes local, enable, line et if-nee- ded. Pour toutes les autres méthodes cet attribut est omis. 46 Acct-Session-Time (Accounting) Indique depuis combien de temps (en se- condes) l'utilisateur a reçu le service. 47 Acct-Input-Packets (Accounting) Indique combien de paquets ont été reçus depuis le port depuis que ce service a été fourni à un "framed user". 48 Acct-Output-Packets (Accounting) Indique combien de paquets ont été émis vers le port depuis que ce service a été délivré à un "framed user". ccnp_cch
17
ccnp_cch Numéro Attribut IETF Description 49 Acct-Terminate-Cause
(Accounting) Rapporte les détails sur les causes de fin de connexion. Les causes de fin sont indiquées par les valeurs numériques suivantes: 1. User request 2. Lost carrier 3. Lost service 4. Idle timeout 5. Session timeout 6. Admin reset 7. Admin reboot 8. Port error 9. NAS error 10. NAS request 11. NAS reboot 12. Port unneeded 13. Port pre-empted 14. Port suspended 15. Service unavailable 16. Callback 17. User error 18. Host request Note: Pour l'attribut 49 l'IOS Cisco supporte les valeurs 1 à 6, 9, 12 et 15 à 18. 50 Acct-Multi-Session-Id (Accounting) Identifieur d'accounting unique utilisé pour lier de multiples sessions dans un seul fichier log. Chaque session liée dans une session multilink à une valeur Acct-Session-Id unique mais partage le même Acct-Multi-Session-Id. 51 Acct-Link-Count (Accounting) Indique le nombre de liaisons connues dans une session multilink au moment ou en enregis- trement d'accounting est généré. Le serveur d'accès ré- seau peut inclure cet attribut dans toute requête d'ac- counting qui pourrait avoir des liaisons multiples. 52 Acct-Input-Gigawords Indique le nombre de fois que le compteur d'octets Acct- Input-Octets a dépassé 232 depuis que le service a été fourni. 53 Acct-Output-Gigawords Output-Octets a dépassé 232 depuis que le service a été délivré. 55 Event-Timestamp Enregistre le temps auquel s'est produit l'évènement sur le NAS; la marque de temps transmise dans l'attribut 55 est en secondes depuis le 1 janvier 1970 à 00:00:00 UTC. Pour transmettre l'attribut 55 dans les paquets d'accounting utilisez la commande radius-server attribute 55 include-in-acct-req. Note: Avant que l'attribut Event-Timestamp puisse être transmis dans les paquets d'accounting, vous de- vez configurer l'horloge sur le routeur. Pour éviter de configurer l'horloge sur le routeur chaque fois que le routeur est rechargé, vous pou- vez entre la commande clock calendar-valid. ccnp_cch
18
ccnp_cch Numéro Attribut IETF Description 60 CHAP-Challenge
Contient le challenge CHAP (Challenge Handshake Au- thentication Protocol) transmis par le serveur d'accès réseau vers un utilisateur PPP CHAP. 61 NAS-Port-Type Indique le type port physique que le serveur d'accès ré- seau utilise pour authentifier l'utilisateur. Les ports physiques sont indiqués par les valeurs numériques suivantes: 0: Asynchronous 1: Synchronous 2: ISDN-Synchronous 3: ISDN-Asynchronous (V.120) 4: ISDN-Asynchronous (V.110) 5: Virtual 62 Port-Limit Fixe le nombre maximum de ports fournis à l'utilisateur par le NAS. 63 Login-LAT-Port Définit le port avec lequel l'utilisateur est connecté par LAT. 64 Tunnel-Type1 Indique le ou les protocole de tunnel utilisés. Le logiciel IOS Cisco supporte deux valeurs possibles pour cet at- tribut: L2TP et L2F. Si cet attribut n'est pas configuré, L2F est utilisé par défaut. 65 Tunnel-Medium-Type1 Indique le type de medium de transport à utiliser pour le tunnel. Cet attribut a une seule valeur possible pour cette release: IP. Si aucune valeur n'est configurée pour cet attribut, IP est utilisé par défaut. 66 Tunnel-Client-Endpoint Contient l'adresse de l'extrémité initiatrice du tunnel. Il peut être inclus dans les paquets Access-Request et Access-Accept pour indiquer l'adresse à partir de la-quelle un nouveau tunnel est initié. Si l'attribut Tunnel- Client-Endpoint est inclus dans un paquet Access-Request, le serveur RADIUS doit prendre la valeur com- me une indication; le serveur n'est pas obligé de répon-dre à cette indication. Cet attribut doit être inclus dans des paquets Accounting-Request qui contiennent les attributs Acct-Status-Attribute avec soit les valeurs Start ou Stop auquel cas il indique l'adresse à partir de laquelle le tunnel a été initié. Cet attribut, avec les attributs Tunnel-Server-Endpoint et Acct-Tunnel-Connection-Id, peut être utilisé pour fournir un moyen unique global pour identifier un tunnel pour des besoins d'audit et d'accounting. Une amélioration a été ajoutée pour le serveur d'accès réseau pour accepter une valeur égale à x pour cet attribut telle que : indiquera que l'adresse IP loopback0 est utilisée. indiquera que l'adresse IP loopback1 est x indiquera que l'adresse IP loopbackx est pour adresse IP actuelle de l'extrémité client du tunnel. Cette amélioration ajoute de l'évolutivité pour de multiples serveurs d'accès réseau. ccnp_cch
19
ccnp_cch Numéro Attribut IETF Description 67 Tunnel-Server-Endpoint1
Indique l'adresse de l'extrémité serveur du tunnel. Le format de cet attribut varie selon la valeur de l'attribut Tunnel-Medium-Type. Comme cette release supporte uniquement IP comme type de medium tunnel, l'adresse IP ou le nom de host du LNS est valide pour cet attri- but. 68 Acct-Tunnel-Connection-Id Indique l'identifieur associé à la session tunnel. Cet at- tribut doit être inclus dans les paquets Accounting-Re- quest qui contiennent un attribut Acct-Status-Type qui a la valeur Start, Stop ou une des valeurs déjà décrites. Cet attribut, avec les attributs Tunnel-Client-Endpoint et Acct-Tunnel-Server-Id, peut être utilisé pour fournir un moyen unique global pour identifier une session tunnel pour des besoins d'audit et d'accounting. 69 Tunnel-Password1 Définit le mot de passe à utiliser pour authentifier un serveur distant. Cet attribut est converti en différents attributs AAA selon la valeur de Tunnel-Type: AAA_ATTR_l2tp_tunnel_pw(L2TP), AAA_ATTR_nas_pass- word_(L2F) et AAA_ATTR_gw_password(L2F). Par défaut tous les mots de passe reçus sont cryptés ce qui peut provoquer un échec d'autorisation quand le NAS tente de décrypter un mot de passe non crypté. Pour valider l'attribut 69 pour recevoir des mots de pas- se non cryptés, utilisez la commande radius-server attribute 69 clear en mode de configuration global. 70 ARAP-Password Identifie un paquet Access-Request qui contient un Framed-Protocol de ARAP. 71 ARAP-Features Inclut l'information mot de passe que le NAS doit trans- mettre vers l'utilisateur dans un paquet ARAP "features flags". 72 ARAP-Zone-Access Indique comment la liste de zones ARAP pour l'utilisa- teur doit être utilisée. 73 ARAP-Security Identifie le ARAP Module Security à utiliser dans un pa- quet Access-Challenge. 74 ARAP-Security-Data Contient le challenge ou la réponse actuelle du module de sécurité. Il peut être placé dans des paquets Access- Challenge et Access-Request. 75 Password-Retry Indique combien de fois un utilisateur peut tenter de s'authentifier avant d'être déconnecté. 76 Prompt Indique au NAS s'il doit faire un écho ou non à la répon- se de l'utilisateur lorsqu'il entre celle-ci. (0 = pas d'écho, 1 = écho). 77 Connect-Info Fournit des informations d'appel additionnelles pour les communication modem. Cet attribut est généré dans les enregistrement sart et stop d'accounting. 78 Configuration-Token Indique un type de profil utilisateur à utiliser. Cet attri- but doit être utilisé dans de grands réseaux à authenti- fication distribuée basée sur un proxy. Il est transmis vers un serveur RADIUS Proxy vers un Client RADIUS Proxy dans un paquet Access-Accept. Il ne doit jamais être transmis vers le NAS. ccnp_cch
20
Numéro Attribut IETF Description 79 EAP-Message Paquets EAP (Extended Access Protocol) qui permettent au NAS d'authentifier les utilisateurs distants via EAP sans avoir à comprendre le protocole EAP. 80 Message-Authenticator Evite l'usurpation des Access-Request qui utilisent les méthodes d'authentification CHAP, ARAP ou EAP. 81 Tunnel-Private-Group-ID Indique l'ID de groupe pour une session tunnel paricu- lière. 82 Tunnel-Assignment-ID1 Indique à l'initiateur du tunnel le tunnel particulier au- quel une session est assignée. 83 Tunnel-Preference Indique la préférence relative affectée à chaque tunnel. Cet attribut doit être inclus si plusieurs ensembles d'at- tributs tunnel sont retournés par le serveur RADIUS à l'initiateur du tunnel. 84 ARAP-Challenge-Response Contient la réponse au challenge du client distant. 85 Acct-Interim-Interval Indique le nombre de secondes entre chaque mises à jour intermédiaire en secondes pour cette session. Cette valeur peut apparaître uniquement dans le paquet Access-Accept. 86 Acct-Tunnel-Packets-Lost Indique le nombre de paquets perdus pour une liaison donnée. Cet attribut doit être inclut dans les paquets Accounting-Request qui contiennent un attribut Acct- Status-Type qui a la valeur Tunnel-Link-Stop. 87 NAS-Port-ID Contient une chaîne de caractères qui identifie le port du NAS qui est en train d'authentifier l'utilisateur. 88 Framed-Pool Contient le nom d'un pool d'adresse assigné qui doit être utilisé pour affecter une adresse à l'utilisateur. Si le NAS ne supporte pas plusieurs pools d'adresses, le NAS doit ignorer cet attribut. 90 Tunnel-Client-Auth-ID Spécifie le nom utilisé par l'initiateur du tunnel (égale- ment connu comme NAS) quand il y a l'authentification de l'établissement du tunnel avec l'autre extrémité du tunnel. Supporte L2F et L2TP. 91 Tunnel-Server-Auth-ID Spécifie le nom utilisé par le terminateur du tunnel (également connu comme Home Gateway) quand il y a l'authentification de l'établissement du tunnel avec l'ini- tiateur du tunnel. Supporte L2F et L2TP. 200 IETF-Token-Immediate Détermine comment RADIUS traite les mots de passe reçus des utilisateurs avec login quand leurs entrées de fichier spécifies un serveur de carte de sécurité person- nelle. Les valeurs de cet attribut sont indiquées par les va-leurs numériques suivantes: 0: No, signifie que le mot de passe est ignoré 1: Yes, signifie que le mot de passe est utilisé pour l'authentification. 1. Cet attribut RADIUS est conforme aux documents ITF suivants: RFC 2868, RADIUS Attributes for Tunnel Protocol Support et RFC 2867, RADIUS Accounting Modifications for Tunnel Protocol Support. ccnp_cch
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.