Удалённая аутентификация, авторизация и аккаунтинг
Удалённая аутентификация, авторизация и аккаунтинг при помощи RADIUS
Для аутентификации, авторизации и/или аккаунтинга при помощи RADIUS необходимо указать, какой абонентский AAA-профиль должен для этого использоваться. Предварительно необходимо создать и настроить абонентский AAA-профиль.
Для создания абонентского AAA-профиля используется команда в конфигурационном режиме subscriber-aaa <SUBSCRIBER_AAA>, где <SUBSCRIBER_AAA> — имя абонентского AAA-профиля. Если профиль с указанным именем уже существует, а также после его создания в результате выполнения команды будет автоматически произведён переход в контекстный режим конфигурации этого профиля, префикс приглашения изменится на (config-sub-aaa)#.
Для удаления абонентского AAA-профиля используется команда конфигурационного режима no subscriber-aaa <SUBSCRIBER_AAA>, где SUBSCRIBER_AAA — имя удаляемого абонентского AAA-профиля.
В контекстном режиме конфигурации абонентского AAA-профиля оператор может отредактировать или удалить описание профиля, указать группы RADIUS-серверов для аутентификации и/или аккаунтинга.
Для задания описания абонентского AAA-профиля используется команда контекстного конфигурационного режима (config-sub-aaa)# description <TEXT>, где TEXT — строка описания.
Для удаления описания абонентского AAA-профиля используется команда контекстного конфигурационного режима (config-sub-aaa) no description.
Для установки режима аутентификации через RADIUS используется команда контекстного конфигурационного режима (config-sub-aaa) authentication radius <RADIUS_GROUP>, где <RADIUS_GROUP> — имя группы RADIUS-серверов.
Для установки режима аккаунтинга через RADIUS используется команда контекстного конфигурационного режима (config-sub-aaa) accounting radius <RADIUS_GROUP>, где RADIUS_GROUP — имя группы RADIUS-серверов.
Пример:
ecorouter(config)#subscriber-aaa NEW_AAA
ecorouter(config-sub-aaa)#authentication
radius RADIUS authentication
ecorouter(config-sub-aaa)#authentication radius
RADIUS_GROUP RADIUS server group
ecorouter(config-sub-aaa)#authentication radius test
ecorouter(config-sub-aaa)#accounting radius test2
ecorouter(config-sub-aaa)#
Subscriber AAA commands:
accounting Subscriber AAA profile accounting method
authentication Subscriber AAA profile authentication method
description Subscriber AAA profile description
exit Exit from the current mode to the previous mode
help Description of the interactive help system
no Negate a command or set its defaults
show Show running system information
ecorouter(config-sub-aaa)#Для использования настроенного профиля необходимо перейти в контекстный конфигурационный режим (config-subscriber-map) и выполнить команду set aaa <SUBSCRIBER_AAA>, где SUBSCRIBER_AAA — имя абонентского AAA-профиля для использования.
В данный момент для установки сервиса от AAA-сервера требуется выполнение следующих условий: 7) Наличие сконфигурированного абонентского сервиса **(**subscriber-service) на маршрутизаторе. 8) Конфигурация группы AAA-серверов для абонентов с помощью subscriber-aaa. 9) Полное соответствие имени абонентского сервиса и имени сервиса в сообщении от AAA-сервера.
При соблюдении вышеуказанных требований, установить сервис от RADIUS-сервера можно с помощью команды set aaa <NAME>, где NAME соответствует заранее сконфигурированной группе AAA-серверов для абонентов. Напомним, что при наличии этой команды в карте абонента аутентификация и авторизация меняются с локальной на удалённую для этой последовательности в subscriber-map.
Если от AAA-сервера приходит сервис, имя которого не найдено в конфигурации маршрутизатора, и локальных сервисов для этих абонентов не предусмотрено в subscriber-map, то сервис для клиентов считается недействительным и трафик от абонентов блокируется.
Для использования настроенного профиля в PPPoE необходимо перейти в контекстный конфигурационный режим PPPoE профиля (config-pppoe)# и выполнить аналогичную команду set aaa <SUBSCRIBER_AAA>.