Роутер, к какому аккаунту отнести в учете

Обновлено: 21.11.2024

Идентификаторы атрибутов Microsoft IAS RADIUS
( Только стандартный формат журнала)


Первые шесть полей в записи журнала IAS содержат так называемые данные заголовка.
RADREP автоматически извлекает соответствующую информацию из заголовка, и ни одно из этих полей
не может быть настроено пользователем в отчете «Подробное использование».

Каждый из приведенных ниже табличных атрибутов может содержаться в записи, которая является частью файла журнала стандартного формата IAS, хотя фактически записываемые атрибуты будут зависеть от того, как настроен ваш сервер NAS (клиент RADIUS) в отношении того, какой учет информацию, которую он отправляет на сервер IAS.

Заголовок IAS всегда содержит следующие упорядоченные записи:

< td width="93">Заголовок IAS1
Атрибут ID Тип данных Представляет
IP-адрес NAS Текст IP-адрес NAS, отправляющего запрос
Имя пользователя Заголовок IAS2 Текст Имя пользователя, запрашивающего доступ.
Дата записи Заголовок IAS3 Время Дата записи журнала
Время записи Заголовок IAS4 Время Время записи журнала
Service-Name IAS Header5 Text Имя службы, работающей на RAD Сервер IUS
Имя компьютера Заголовок IAS6 Текст Имя сервера RADIUS

После заголовка атрибуты и значения RADIUS располагаются парами в следующем формате:

  • Тип Всегда содержит значение 25. 1 октет.
  • Длина всегда 20 или больше. 1 октет.
  • Контрольная сумма Содержит контрольную сумму Adler-32, вычисленную по оставшейся части атрибута класса. 4 октета.
  • Vendor-Id Старший октет равен 0, а младшие 3 октета представляют собой код частного предприятия SMI Network Management поставщика в сетевом порядке байтов, как определено в IETF RFC 1007 «Vendor SMI Network Management Private Enterprise». Коды». 4 октета.
  • Версия всегда содержит значение 1,2 октета.
  • Server-Address Содержит IP-адрес сервера RADIUS, выдавшего Access-Challenge. Для многосетевых серверов это будет адрес сетевого интерфейса, который получил исходный запрос доступа. 2 октета.
  • Service-Reboot-Time Указывает время, когда был возвращен первый серийный номер. 8 октетов.
  • Уникальный серийный номер 8 октетов.
  • String Может использоваться для классификации учетных записей, чтобы эту информацию можно было использовать для дальнейшего анализа. В IAS в эту строку следует скопировать атрибут Class из профиля. 0 или более октетов.
  • 1=Принять запрос
  • 2=Доступ-Принять
  • 3=Доступ-Отказ
  • 4=Отчетность-Запрос
  • 00 = IAS_SUCCESS
  • 01 = IAS_INTERNAL_ERROR
  • 02 = IAS_ACCESS_DENIED
  • 03 = IAS_MALFORMED_REQUEST
  • 04 = IAS_GLOBAL_CATALOG_UNAVAILABLE
  • 05 = IAS_DOMAIN_UNAVAILABLE
  • 06 = IAS_SERVER_UNAVAILABLE
  • 07 = IAS_NO_SUCH_DOMAIN
  • 08 = IAS_NO_SUCH_USER
  • 16 = IAS_AUTH_FAILURE
  • 17 = IAS_CHANGE_PASSWORD_FAILURE
  • 18 = IAS_UNSUPPORTED_AUTH_TYPE
  • 32 = IAS_LOCAL_USERS_ONLY
  • 33 = IAS_PASSWORD_MUST_CHANGE
  • 34 = IAS_ACCOUNT_DISABLED
  • 35 = IAS_ACCOUNT_EXPIRED
  • 36 = ​​IAS_ACCOUNT_LOCKED_OUT
  • 37 = IAS_INVALID_LOGON_HOURS
  • 38 = IAS_ACCOUNT_RESTRICTION
  • 48 = IAS_NO_POLICY_MATCH
  • 64 = IAS_DIAIN_LOCKED_OUT
  • 65 = IAS_DIAIN_DISABLED
  • 66 = IAS_INVALID_AUTH_TYPE
  • 67 = IAS_INVALID_CALLING_STATION
  • 68 = IAS_INVALID_DIALIN_HOURS
  • 69 = IAS_INVALID_CALLED_STATION
  • 70 = IAS_INVALID_PORT_TYPE
  • 71 = IAS_INVALID_RESTRICTION
  • 80 = IAS_NO_RECORD
  • 96 = IAS_SESSION_TIMEOUT
  • 97 = IAS_UNEXPECTED_REQUEST

Нажмите здесь, чтобы просмотреть список «Идентификаторов атрибутов Microsoft IAS для конкретных поставщиков», например, для ASCEND.

Авторское право © SecurityBoy Consulting 2002-2006. Все права защищены.

Если вы нашли эту страницу через поисковую систему, возможно, вы захотите перейти на домашнюю страницу RADREP.

Глава: Обзор атрибутов RADIUS и атрибуты RADIUS IETF

Атрибуты службы удаленной аутентификации пользователей с телефонным подключением (RADIUS) используются для определения определенных элементов аутентификации, авторизации и учета (AAA) в профиле пользователя, которые хранятся в программе RADIUS. В этой главе перечислены поддерживаемые атрибуты RADIUS.

Поиск информации о функциях

Ваша версия программного обеспечения может не поддерживать все функции, описанные в этом модуле. Последние предостережения и информацию о функциях см. в Инструменте поиска ошибок и примечаниях к выпуску для вашей платформы и версии программного обеспечения. Чтобы найти информацию о функциях, задокументированных в этом модуле, и просмотреть список выпусков, в которых поддерживается каждая функция, см. таблицу информации о функциях.

Обзор атрибутов RADIUS

Атрибуты IETF и VSA

Атрибуты RADIUS Internet Engineering Task Force (IETF) — это исходный набор из 255 стандартных атрибутов, которые используются для передачи информации AAA между клиентом и сервером. Атрибуты IETF являются стандартными, а данные атрибутов предопределены. Все клиенты и серверы, которые обмениваются информацией AAA с использованием атрибутов IETF, должны согласовать данные атрибутов, такие как точное значение атрибутов и общие границы значений для каждого атрибута.

Атрибуты поставщика RADIUS (VSA) являются производными от атрибута IETF для конкретного поставщика (атрибут 26). Атрибут 26 позволяет поставщику создать дополнительные 255 атрибутов; то есть поставщик может создать атрибут, который не соответствует данным какого-либо атрибута IETF, и инкапсулировать его за атрибутом 26. Вновь созданный атрибут принимается, если пользователь принимает атрибут 26.

Дополнительную информацию о VSA см. в главе «Атрибуты RADIUS, зависящие от поставщика, и значения атрибута RADIUS Disconnect-Cause».

Формат пакета RADIUS

Данные между сервером RADIUS и клиентом RADIUS обмениваются пакетами RADIUS. Поля данных передаются слева направо.

На рисунке ниже показаны поля в пакете RADIUS.

Схему VSA см. на рис. 1 в главе "Атрибуты RADIUS, зависящие от поставщика, и значения атрибутов RADIUS Disconnect-Cause".

Каждый пакет RADIUS содержит следующую информацию:

    Код — поле кода занимает один октет; он идентифицирует один из следующих типов пакетов RADIUS:
      Доступ-Запрос (1) Доступ-Принятие (2) Доступ-Отказ (3) Учет-Запрос (4) Учет-Ответ (5)

    Идентификатор — поле идентификатора состоит из одного октета; это помогает серверу RADIUS сопоставлять запросы и ответы и обнаруживать повторяющиеся запросы.

    Длина — поле длины составляет два октета; он указывает длину всего пакета.

      Request-Authentication: доступен в пакетах Access-Request и Accounting-Request. Response-Authenticator: доступен в пакетах Access-Accept, Access-Reject, Access-Challenge и Accounting-Response.

    Типы пакетов RADIUS

    В следующем списке определены различные типы пакетов RADIUS, которые содержат информацию об атрибутах:

    Access-Request — отправляется от клиента на сервер RADIUS. Пакет содержит информацию, позволяющую серверу RADIUS определить, следует ли разрешить доступ к определенному серверу доступа к сети (NAS), который разрешит доступ пользователю. Пользователь, выполняющий аутентификацию, должен отправить пакет Access-Request. После получения пакета Access-Request сервер RADIUS должен переслать ответ.

    Access-Accept — после того, как сервер RADIUS получит пакет Access-Request, он должен отправить пакет Access-Accept, если все значения атрибутов в пакете Access-Request допустимы. Пакеты Access-Accept предоставляют информацию о конфигурации, необходимую клиенту для предоставления услуги пользователю.

    Access-Reject — после того, как сервер RADIUS получит пакет Access-Request, он должен отправить пакет Access-Reject, если какое-либо из значений атрибута неприемлемо.

    Access-Challenge — после того, как сервер RADIUS получит пакет Access-Accept, он может отправить клиенту пакет Access-Challenge, требующий ответа. Если клиент не знает, что ответить, или если пакеты недействительны, сервер RADIUS отбрасывает пакеты. Если клиент отвечает на пакет, вместе с исходным пакетом Access-Request необходимо отправить новый пакет Access-Request.

    Accounting-Request — отправляется от клиента на сервер учета RADIUS, который предоставляет учетную информацию. Если сервер RADIUS успешно записывает пакет Accounting-Request, он должен отправить пакет Accounting Response.

    Accounting-Response — отправляется сервером учета RADIUS клиенту для подтверждения того, что Accounting-Request получен и успешно зарегистрирован.

    Файлы RADIUS

    Понимание типов файлов, используемых RADIUS, важно для передачи информации AAA от клиента к серверу. Каждый файл определяет уровень аутентификации или авторизации для пользователя. Файл словаря определяет, какие атрибуты может реализовать NAS пользователя, файл клиентов определяет, каким пользователям разрешено делать запросы к серверу RADIUS, а файл пользователей определяет, какие запросы пользователей сервер RADIUS будет аутентифицировать на основе данных безопасности и конфигурации.

    Файл словаря

    Файл словаря содержит список атрибутов, которые зависят от того, какие атрибуты поддерживает ваш NAS. Однако вы можете добавить в словарь собственный набор атрибутов для пользовательских решений. Он определяет значения атрибутов, поэтому вы можете интерпретировать выходные данные атрибутов, такие как синтаксический анализ запросов. Файл словаря содержит следующую информацию:

    Имя — строка ASCII «имя» атрибута, например имя пользователя.

    ID — числовое «имя» атрибута; например, атрибут User-Name — это атрибут 1.

      двоичный — от 0 до 254 октетов. date — 32-битное значение в обратном порядке. Например, секунды с 00:00:00 GMT, JAN. 1, 1970. ipaddr — 4 октета в сетевом порядке байтов. целое число — 32-битное значение в обратном порядке (сначала старший байт). строка — от 0 до 253 октетов.

    Если тип данных для определенного атрибута является целым числом, вы можете дополнительно расширить целое число, чтобы оно соответствовало некоторой строке. Следующий образец словаря включает целочисленный атрибут и соответствующие ему значения.

    Файл клиентов

    Файл клиентов содержит список клиентов RADIUS, которым разрешено отправлять запросы аутентификации и учета на сервер RADIUS. Чтобы получить аутентификацию, имя и ключ аутентификации, которые клиент отправляет на сервер, должны точно совпадать с данными, содержащимися в файле client.

    Ниже приведен пример файла client. Ключ, как показано в этом примере, должен совпадать с ключом сервера радиуса SomeSecret.

    Файл пользователей

    Файл пользователей RADIUS содержит запись для каждого пользователя, которого сервер RADIUS будет аутентифицировать; каждая запись, которая также называется профилем пользователя, устанавливает атрибут, к которому пользователь может получить доступ.

    Первая строка в любом профиле пользователя всегда является строкой «Доступ пользователя». то есть сервер должен проверить атрибуты в первой строке, прежде чем он сможет предоставить доступ пользователю. Первая строка содержит имя пользователя, которое может содержать до 252 символов, за которым следует информация для аутентификации, например пароль пользователя.

    Дополнительные строки, связанные со строкой доступа пользователя, указывают ответ атрибута, который отправляется запрашивающему клиенту или серверу. Атрибуты, отправляемые в ответе, должны быть определены в файле словаря. При просмотре пользовательского файла обратите внимание, что данные слева от символа равенства (=) — это атрибут, определенный в файле словаря, а данные справа от символа равенства — это данные конфигурации.

    В профиле пользователя не может быть пустой строки.

    Атрибуты RADIUS IETF

    Для атрибутов туннеля RADIUS для L2TP поддерживаются 32 набора тегированных туннелей.

    Поддерживаемые атрибуты RADIUS IETF

    В таблице 1 перечислены поддерживаемые Cisco атрибуты IETF RADIUS и версии Cisco IOS, в которых они реализованы. В случаях, когда атрибут имеет формат, специфичный для сервера безопасности, этот формат указывается.

    См. Таблицу 2 для описания каждого перечисленного атрибута.

    Атрибуты, реализованные в специальных (AA) или ранних версиях (T) для разработки, добавляются к следующему основному образу.

    Отображение атрибутов учета RADIUS, отправленных коммутатором, работающим в качестве сервера сетевого доступа (NAS), на сервер учета RADIUS. Атрибуты учета RADIUS передают информацию, которая используется для учета услуги, предоставляемой аутентифицированному пользователю. Статистика сеанса пользователя записывается сервером учета в файл журнала учета.

    Атрибуты учета RADIUS включаются в сообщения Accounting-Request, отправляемые с коммутатора на сервер учета. Информация об атрибуте создается только в том случае, если данные для атрибута доступны.

    Требуемый уровень привилегий

    Поля вывода

    В таблице 1 перечислены поля вывода для команды show dot1x Accounting-Attributes. Поля вывода перечислены примерно в том порядке, в котором они появляются.

    Показывает значение учетных атрибутов RADIUS, отправляемых с NAS на сервер. Атрибут отображается только в том случае, если для этого значения атрибута доступны данные. Поддерживаются следующие атрибуты учета RADIUS:

    User-Name — имя аутентифицированного пользователя.

    NAS-Port — номер физического порта NAS, на котором выполняется аутентификация пользователя.

    Frame-IP-Address — IP-адрес аутентифицированного пользователя.

    Filter-ID — название списка фильтров для аутентифицированного пользователя.

    Framed-MTU — максимальная единица передачи, которую можно настроить для пользователя.

    Client-System-Name — атрибут поставщика (VSA), используемый для указания имени хоста клиента. Поддерживается только для устройств с поддержкой LLDP.

    Session-Timeout – максимальное количество секунд, в течение которых сеанс будет оставаться активным до завершения сеанса или запроса.

    Called-Station-ID: позволяет NAS отправлять телефонный номер, на который звонил пользователь, используя идентификацию набранного номера (DNIS) или аналогичную технологию.

    Calling-Station-ID: позволяет NAS отправлять телефонный номер, с которого поступил вызов, используя идентификацию набранного номера (DNIS) или аналогичную технологию.

    Идентификатор NAS — содержит строку, идентифицирующую NAS, отправивший Accounting-Request.

    Acct-Status-Type — указывает, отмечает ли этот Accounting-Request начало сеанса пользователя (Start) или конец (Stop). Также может использоваться для промежуточного обновления (Interim-Update).

    Acct-Authentic — указывает, был ли пользователь аутентифицирован локально (Local), сервером RADIUS (RADIUS) или другим протоколом удаленной аутентификации (Remote).

    Acct-Session-ID – уникальный идентификатор для определенного сеанса учета, который можно использовать для сопоставления записей начала и окончания сеанса в файле журнала.

    Используйте целевую страницу "Счета" для выполнения различных задач при обработке счетов. Вы можете сосредоточиться на счетах, требующих вашего внимания, с помощью одного из 6 информационных блоков, отображаемых на целевой странице "Счета".

    Вы можете просматривать и редактировать незавершенные счета, просматривать недавно добавленные счета, просматривать или снимать удержания и утверждения, а также просматривать предоплаты и причитающиеся платежи.

    Для начала войдите в систему, щелкните значок "Расчеты с поставщиками", а затем щелкните значок "Счета". Вы перейдете на целевую страницу «Счета-фактуры», где отображаются и описываются следующие информационные бюллетени:

    Отсканированные: счета-фактуры, которые были записаны в приложение путем сканирования и являются неполными.

    Недавние: количество счетов, которые были обновлены и недавно добавлены.

    Задержано. Отображает количество приостановленных счетов, классифицированных по типу примененного удержания.

    Утверждения: отображаются счета, которые проходят различные этапы утверждения, определенные вами.

    Предоплаты: отображаются в сегментах сроков действия, определяемых доступными предоплатами по счетам.

    Платежи. Указывает в валюте общую сумму, подлежащую оплате.

    Просмотр общего состояния счетов-фактур позволяет предпринять соответствующие действия для обработки счетов-фактур. Вы можете выполнять следующие действия для каждого информационного бюллетеня:

    Отсканированные счета-фактуры упорядочены по сегментам с истекшим сроком действия. Если щелкнуть любой из номеров, эти счета-фактуры отобразятся в таблице. Обратите внимание, что они назначены специалисту для обработки. Если вы специалист, вы можете обработать счет соответствующим образом. Если они назначены другому специалисту, вы можете связаться с ними при обработке счета.

    Отображаются последние счета, которые были обновлены или созданы за последние 7 дней. Срез показывает часть счетов, которые еще необходимо проверить. Если щелкнуть номер, эти счета отобразятся в следующей таблице.

    Информационное окно "Отложенные платежи" указывает типы задержек, примененных к счету. Данные счета-фактуры необходимо исправить, чтобы устранить проблемы с проверкой. Удержания отображаются по типу и требуют проверки и разрешения, как правило, менеджером. Если щелкнуть связанный тип, эти счета отобразятся в следующей таблице.

    Информационное окно "Утверждения" отображает ожидающие подтверждения счета, другие и отклоненные утверждения. У вас могут быть счета, которые вы можете утвердить, вы можете отслеживать ожидающие утверждения от других и те, которые были отклонены. При нажатии на категорию счета отображаются в следующей таблице.

    Предоплата классифицирует доступную предоплату, которую можно применить к счетам. Их категоризация основана на определенных вами корзинах старения, количество доступных платежей отображается в каждой корзине старения. Если щелкнуть число в сегменте, счета отобразятся в следующей таблице.

    Информационное окно "Платежи" отображает общую сумму счетов, подлежащих оплате в течение следующих 7 дней. Если щелкнуть сумму, в следующей таблице отобразятся счета к оплате.

    Как компоненты счета сочетаются друг с другом

    В приложении счет-фактура имеет заголовок, строки, распределения и платежи.

    На следующем рисунке показаны компоненты и их взаимосвязь друг с другом.

    Читайте также: