Фильтры RADIUS взаимодействуют непосредственно с той частью кода, которая отвечает за возвращение атрибутов RADIUS или выполняет вызовы API при получении запроса RADIUS. Фильтры RADIUS можно задать в разделе Конфигурация → Расширенные настройки доступа → Механизмы фильтрации.
RADIUS фильтры:
- Могут быть использованы в различных областях применения:
- returnRadiusAccessAccept: возврат ответа для доступа устройства;
- returnAuthorizeRead: возврат ответа для доступа коммутатора для чтения логина;
- returnAuthorizeWrite: возврат ответа для доступа коммутатора для записи логина;
- returnAuthorizeVoip: возврат ответа для VoIP-устройств;
- preProcess: управление контекстом RADIUS (например, добавление пользовательских атрибутов в запрос);
- packetfence.authorize: вызов RADIUS-фильтра в секции AxelNAC authorize;
- packetfence.authenticate: вызов RADIUS-фильтра в секции AxelNAC authenticate;
- packetfence.pre-proxy: вызов фильтра RADIUS в секции AxelNAC pre-proxy;
- packetfence.post-proxy: вызов фильтра RADIUS в секции AxelNAC post-proxy;
- packetfence-tunnel.authorize: вызов фильтра RADIUS в секции AxelNAC-tunnel authorize;
- packetfence.preacct: вызов RADIUS-фильтра в секции AxelNAC preacct;
- packetfence.accounting: вызов RADIUS-фильтра в секции AxelNAC accounting;
- eduroam.authorize: вызов RADIUS-фильтра в секции eduroam accounting;
- eduroam.pre-proxy: вызов RADIUS-фильтра в секции pre-proxy accounting;
- eduroam.post-proxy: вызов RADIUS-фильтра в секции post-proxy accounting;
- eduroam.preacct: вызов RADIUS-фильтра в секции eduroam preacct.
- 2. Можно определить по различным критериям, например:
- node_info.attribute (например, node_info.$attribute);
- switch;
- ifIndex;
- mac connection_type;
- username;
- ssid;
- time;
- owner.attribute (например, owner.$attribute);
- radius_request.attribute (например, radius_request.$attribute) security_event user_role vlan.
По умолчанию в AxelNAC уже созданы примеры фильтров RADIUS, которые можно использовать для следующих целей:
- EXAMPLE_Ethernet-EAP-Accept — данный фильтр возвращает Access-Accept (с атрибутом Cisco-AVPair), если тип подключения — Ethernet EAP, а открытое событие безопасности отсутствует;
- EXAMPLE_Session-timeout_Idle-Timeout_Terminate_action — данный фильтр отсеивает IP-адреса коммутатора и добавляет атрибуты js Session-Timeout (со значением между 10620 и 12600), Idle-Timeout и Terminate-Action RADIUS;
- EXAMPLE_eap-tls-preProcess — данный фильтр создает атрибуты RADIUS, которые будут использоваться на следующих шагах (например, в правилах аутентификации). Например, добавляет в запрос RADIUS-атрибут TLSStripped-UserName, который можно использовать в правилах аутентификации/администрирования.
