Radius klienter

Owned by Heidi R. (Deactivated)
Last updated: Sept 20, 2022 by Lise Kristoffersen
2 min read


Buypass Code identifiserer brukere ved å bruke Radius Protokollen som kommuniserer med brukerstedets ”Remote Access server” (RAS). For at Buypass skal vite hvilket brukersted og RAS som gjør enhver identifiseringsforespørsel, må alle tjenester som vil bruke Buypass Code defineres.

Konfigurasjon

IP-adresse: IP-adresse til RAS (Radius klient) som skal ha mulighet til å sende identifiseringsforespørsler. IP-adressen må være på formen ”AAA.BBB.CCC.DDD”.

For eksempel: 213.123.121.23

Shared secret: Shared secret, også kjent som PSK (pre-shared key). Denne brukes for å autentisere en Radius-klient innenfor en Radius-server/Service Connector. Derfor må samme shared secret som settes her, også settes i Radius klienten.

For eksempel: verysecretpsk

 LDAP: Det er mulig å bestemme hvilke LDAP kataloger oppslag skal gjøres mot avhengig av hvilken Radius klient brukeren benytter. Standard er at alle LDAP kataloger som er aktive brukes. Gjennom å flytte konfigurasjoner til ”Tilgjengelige LDAPs” med hjelp av pil knappene, er det mulig å ekskludere LDAP kataloger fra oppslaget.

Offline: Ved å krysse i ruten tillater denne Radius konfigurasjonen at brukere logger på med OTP’er som er genererte når mobilen er offline. Det er ikke mulig å logge på Code Manager ved å bruke offline genererte OTP’er.


Radius attributt: I tilfelle flere forespørsler mot Service Connector (SC) kommer fra samme IP-adresse, må ytterligere informasjon sendes med i forespørselen for at SC’en skal kunne skille på klientene. Hovedregelen er at kombinasjonen IP-adresse, NAS identifikator og NAS IP-adresse må være unik. Buypass tilber i tillegg ett Vendor Specific Attribute (VSA), Tunnel-Group-Name, i tilfelle Radius klienten ikke kan spesifisere NAS identifikator og/eller NAS IP-adresse.

NAS identifikator har Radius attributt ID 32 og ieft navn ”NAS-Identifier”. NAS identifikatoren kan ikke være lenger en 40 tegn.

For eksempel: this-is-my-nas-identifier


IP-adresse pleier å settes til klientens interne IP-adresse dersom IP-adressefeltet er satt til dens eksterne ditto. NAS IP-adresse har Radius attributt ID 4 og ieft navn ”NAS-IP-Address”.

For eksempel: 192.168.3.1

Tunnel-Group-Name är et VSA som tilbes av Cisco og har VSA ID: 3076/146. Tunnel-Group-Name kan ikke være lenger en 40 tegn.

For eksempel: this-is-my-tunnel-group

Eksterne Radius: Det er mulig å bestemme hvilke eksterne Radius konfigurasjoner som skal brukes basert på hvilken Radius klient brukeren benytter. Standard er at ingen ekstern Radius brukes. Gjennom å flytte eksterne Radius konfigurasjoner fra ”Tilgjengelige eksterne Radius” til ”Valgt eksterne Radius” ved hjelp av pilknappene, aktiveres proxying. Forespørsler som er ukjente for Buypass Code videresendes så til de valgte eksterne Radius konfigurasjonene. De eksterne Radius konfigurasjonene kan prioriteres ved å bruke opp- og ned knappene ved siden av ”Valgt eksterne Radius” boksen. Det laveste sifferet vil bli prøvd først. Notér at shared secret for de valgte eksterne Radius konfigurasjonene må være like.

Overvåking: Overvåking er en måte for brukerstedet å teste at alle systemer er oppe og kjører. Hvis overvåking er aktivert, tillater det en bruker med fixed passcode å autentisere med Buypass Code. Notér at hvis overvåking er aktivert så er det brukerstedets ansvar å sikre at denne funksjonaliteten ikke brukes for noe annet en overvåking. Ved å krysse av Brukes kun til overvåking - ruten, er overvåkingsbrukeren den eneste som får autentisert mot denne Radius konfigurasjonen. Det er anbefalt å ha separate Radius konfigurasjoner for overvåking for å unngå risikoen for at noen autentiserer ved å bruke overvåkingsbrukeren. Brukernavn og passord for overvåkingsbrukeren angis i Code Manager og trenger derfor ikke å finnes i en LDAP katalog.   




Innhold