Atributos do Juniper Mist RADIUS
Use essas informações para entender os atributos RADIUS que foram implementados nos pontos de acesso (APs) da Juniper Mist™.
Atributos de autenticação
Os serviços RADIUS podem ser habilitados nos APs Mist para autenticação de usuário WLAN. Os serviços RADIUS são necessários para WLANs que implementam a autenticação IEEE 802.1X.
Durante a autenticação, o AP envia informações do usuário para o servidor RADIUS em uma mensagem de solicitação de acesso. O servidor RADIUS retorna uma destas respostas:
-
Rejeitar acesso — nega incondicionalmente o acesso ao recurso de rede solicitado. Os motivos da falha podem incluir uma credencial inválida ou uma conta inativa.
-
Access-Challenge — Solicita informações adicionais do usuário, como uma senha secundária, PIN, token ou cartão. O Access-Challenge também é usado em autenticações mais complexas quando um túnel seguro é estabelecido entre o usuário e o servidor Radius, como a autenticação usando o EAP (Extensible Authentication Protocol).
-
Access-Accept — Permite o acesso ao recurso de rede solicitado. O Access-Request geralmente inclui informações de configuração adicionais para o usuário usando atributos de retorno.
Atributos de autenticação padrão da IETF
A tabela a seguir descreve os atributos de autenticação padrão que foram implementados em APs da Juniper Mist de acordo com a RFC 2865. Extensões adicionais também foram implementadas seguindo as recomendações do RFC 2868 e do RFC 2869.
| Nome do atributo | Digite | RFC | Descrição |
|---|---|---|---|
| Nome de usuário | 1 | RFC 2865 | O atributo User-Name é encaminhado na Access-Request e indica o nome do usuário a ser autenticado. |
| Senha de usuário | 2 | RFC 2865 | O atributo User-Password é encaminhado na Access-Request. Ele indica a senha do usuário a ser autenticado ou a entrada do usuário após um desafio de acesso. |
| Endereço IP NAS | 4 | RFC 2865 | O atributo NAS-IP-Address é encaminhado na solicitação de acesso e indica o endereço IP do AP que solicita a autenticação do usuário. Você pode configurar esse atributo nas configurações de RADIUS para uma WLAN. Todos os APs em uma WLAN enviam o valor configurado. |
| Tipo de serviço | 6 | RFC 2865 | O atributo Service-Type é encaminhado no Access-Request e indica o tipo de serviço que o usuário solicitou ou o tipo de serviço a ser fornecido. O valor do atributo é sempre definido como Framed-User pelo AP para WLANs 802.1X/EAP ou para Call-Check para as WLANs habilitadas para MAC-Auth. |
| MTU emoldurado | 12 | RFC 2865 | O atributo Framed-MTU é encaminhado na Solicitação de Acesso e indica a Unidade Máxima de Transmissão (MTU) a ser configurada para o usuário. O valor do atributo é sempre definido como 1200 pelo AP. |
| Estado | 24 | RFC 2865 | O atributo State está disponível para ser encaminhado no Access-Challenge. Ele deve ser enviado sem modificações do cliente para o servidor na resposta da Solicitação de Acesso a esse desafio, se houver. |
| ID da estação chamada | 30 | RFC 2865 | O atributo Called-Station-Id é encaminhado na Solicitação de Acesso e indica o BSSID e o ESSID aos quais o usuário autenticador está associado. O ponto de acesso encaminhará o valor do atributo usando a seguinte formatação: XX-XX-XX-XX-XX-XX:ESSID. |
| ID da estação de chamada | 31 | RFC 2865 | O atributo Calling-Station-Id é encaminhado na solicitação de acesso e indica o endereço MAC do usuário que está autenticando. Ele é usado apenas em pacotes de solicitação de acesso. O ponto de acesso encaminhará o valor do atributo usando a seguinte formatação: XX-XX-XX-XX-XX-XX-XX. |
| Identificador de NAS | 32 | RFC 2865 | O atributo NAS-Identifier é encaminhado na solicitação de acesso. Você pode configurar esse atributo nas configurações de RADIUS para uma WLAN. Todos os pontos de acesso em uma WLAN enviam o valor configurado. Você pode usar variáveis para enviar o nome do dispositivo, modelo, endereço MAC e nome do site. As variáveis são: {{DEVICE_NAME}} {{DEVICE_MODEL}} {{DEVICE_MAC}} {{SITE_NAME}} |
| Estado do proxy | 33 | RFC 2865 | O atributo proxy-state é enviado pelo servidor proxy para outro servidor ao encaminhar solicitações de acesso; isso deve ser retornado sem modificações no Access-Accept, Access-Reject ou Access-Challenge e removido pelo servidor proxy antes de enviar a resposta ao servidor de acesso à rede |
| Tipo de porta NAS | 61 | RFC 2865 | O atributo NAS-Port-Type é encaminhado na Access-Request e indica o tipo de conexão física para o usuário que está autenticando. O valor do atributo é sempre definido como Wireless-802.11 pelo ponto de acesso. |
| Informações de conexão | 77 | RFC 2869 | O atributo Connection-Info é encaminhado no Access-Request e indica a taxa de dados e o tipo de rádio do usuário que está autenticando. O ponto de acesso encaminhará o valor do atributo usando a seguinte formatação: CONNECT XXMbps 802.11X. |
| Mensagem EAP | 79 | RFC 2869 | O atributo EAP-Message é encaminhado nos pacotes Access-Request, Access-Challenge, Access-Accept e Access-Reject e encapsula pacotes EAP (Extended Access Protocol). |
| Autenticador de mensagem | 80 | RFC 2869 | O atributo Message-Authenticator é encaminhado na Solicitação de Acesso e pode ser usado para evitar a falsificação de pacotes de Solicitação de Acesso CHAP, ARAP ou EAP. |
| ID do grupo privado do túnel | 81 | RFC 2868 | O atributo Tunnel-Private-Group-ID é encaminhado no Access-Accept e indica o ID VLAN numérico a ser atribuído ao usuário de autenticação. O valor do atributo deve ser definido como um valor numérico entre 1 e 4094 ou uma string que representa uma VLAN nomeada. |
| ID do filtro | 11 | RFC 2865 | O atributo Filter-Id pode ser encaminhado no Access-Accept e indica que a função de usuário ao qual o cliente será associado. Os grupos de usuários são usados pela estrutura de políticas do Mist WxLAN para designar regras de firewall de rede. Formato: Nome do grupo Exemplo: funcionário |
Atributos específicos do fornecedor suportados
A tabela a seguir descreve os atributos específicos do fornecedor (VSAs) que são suportados pelos pontos de acesso da Juniper Mist de acordo com a RFC 2865.
| Nome do atributo | Digite | ID do fornecedor | Número do atributo | Formatação | Descrição |
|---|---|---|---|---|---|
| Airespace-Interface-Name | 26 | 14179 | 5 | Sequência | O atributo Airespace-Interface-Name pode ser encaminhado no Access-Accept para indicar a associação VLAN dinâmica de um usuário autenticado 802.1X ou RADIUS MAC. O valor do atributo retornado é sempre um nome formatado em string da VLAN. A conversão de nome de VLAN para ID de VLAN deve ser configurada em WLAN usando IDs ou variáveis de VLAN. Formato: VLAN-Name Exemplo: employee-vlan |
| Airespace-ACL-name | 26 | 14179 | 6 | Sequência |
O atributo Airespace-ACL-Name pode ser encaminhado no Access-Accept e indica que a função de usuário ao qual o cliente será associado. Os grupos de usuários são usados pela estrutura de políticas do Mist WxLAN para atribuir restrições granulares de recursos de rede. Formato: Nome do grupo Exemplo: funcionário |
| aruba-user-role | 26 | 14823 | 1 | Sequência | O atributo Aruba-User-Role pode ser encaminhado no Access-Accept e indica que a função de usuário ao qual o cliente será associado. Os grupos de usuários são usados pela estrutura de políticas do Mist WxLAN para atribuir restrições granulares de recursos de rede. Formato: Nome do grupo Exemplo: funcionário |
| Cisco-AVPair | 26 | 9 | 1 | Sequência | O atributo Cisco-AVPair pode ser encaminhado no Access-Accept para indicar ao Mist Access Point que um cliente precisa ser redirecionado para autenticação do portal e especificar o local do URL de redirecionamento. Esse atributo é normalmente usado para integrações de acesso de convidado com servidores Cisco ISE ou Aruba Clearpass RADIUS ou para habilitar a funcionalidade de redirecionamento de postura para usuários 802.1X/EAP. Redirecionamento de URL do AVPair Formato: url-redirect=<valor do URL> Exemplo: url-redirect=https://ise28.89mistilbs.org:8443/portal/gateway?sessionId=0a004b1c/Jtf4peiJ5A8nPreloHRRITWvmhDCbnH3qXQ8MngtoA&portal=71984f36-f55e-4439-ba6e-903d9f77c216&action=cwa&token=1f7dca2cc907b1ad56ee4880e1cfa1ae AVPair PSK O atributo Cisco-AVPair também pode conter o atributo PSK, indicando ao Mist Access Point qual senha é atribuída a um determinado cliente. Observe que, para fornecer um valor PSK ao AP, dois atributos Cisco AVPair devem ser enviados simultaneamente, um indicando que a PSK será enviada no formato ASCII e outro AVPair fornecendo o valor real da chave pré-compartilhada. Formato: psk-mode=ascii & psk=<senha> |
| Chave-de-Localização-de-Autenticação-Onze | 26 | 52970 | 3 | TLV | O atributo Eleven-Authentication-Find-Key é usado para fornecer informações adicionais aos servidores RADIUS suportados para simplificar a pesquisa PSK do cliente sem fio via RADIUS, eliminando a necessidade de pré-associar um MAC de cliente sem fio a uma PSK específica com antecedência. Esse atributo é um TLV de acordo com o RFC6929 que contém vários subatributos em seu interior. |
| Eleven-EAPOL-Frame-2 (subatributo) | 1 | Octetos | O subatributo Eleven-EAPOL-Frame-2 contém o segundo quadro EAPOL enviado pelo cliente sem fio ao ponto de acesso durante um handshake de 4 vias | ||
| Eleven-EAPOL-Anonce (subatributo) | 2 | Octetos | O subatributo Eleven-EAPOL-Anonce contém o primeiro quadro EAPOL enviado pelo ponto de acesso ao cliente sem fio durante um handshake de 4 vias | ||
| Eleven-EAPOL-SSID (subatributo) | 3 | Sequência | O subatributo Eleven-EAPOL-SSID contém o nome SSID atual ao qual o cliente sem fio está tentando associar | ||
| Eleven-EAPOL-APMAC (subatributo) | 4 | Octetos | O subatributo Eleven-EAPOL-APMAC contém BSSID no formato xxxxxxxxxxxx | ||
| Eleven-EAPOL-STMAC (subatributo) | 5 | Octetos | O subatributo Eleven-EAPOL-STMAC contém o endereço MAC do cliente sem fio no formato xxxxxxxxxxxx |
Atributos contábeis do RADIUS
Você pode habilitar ou desabilitar servidores de contabilidade RADIUS na configuração da WLAN. Você pode usar as informações contábeis do RADIUS para rastrear o uso da rede pelos usuários para fins de faturamento e coletar dados para monitoramento geral da rede.
As seguintes configurações de contabilidade são suportadas:
-
Start-Stop — os APs da Juniper Mist encaminham solicitações de contabilidade no início e no final das sessões do usuário. Esse comportamento é habilitado por padrão, assim que pelo menos um servidor de contabilidade é configurado na WLAN.
-
Start-Interim-Stop — os APs da Juniper Mist encaminham solicitações de contabilidade no início e no final das sessões do usuário e periodicamente durante a vida útil das sessões. O atributo Framed-IP-Address será incluído nas mensagens de contabilidade.
Observação:O intervalo Interim-Update também pode ser substituído dinamicamente enviando AVP Acct-Interim-Interval (85) do servidor RADIUS.
A tabela a seguir descreve os atributos contábeis padrão do RADIUS que foram implementados nos pontos de acesso da Juniper Mist de acordo com a RFC 2866.
| Nome do atributo | Digite | RFC | Descrição |
|---|---|---|---|
| Nome de usuário | 1 | RFC 2865 | O atributo User-Name é encaminhado na Accounting-Request e indica o nome do usuário. |
| Endereço IP NAS | 4 | RFC 2865 | O atributo NAS-IP-Address é encaminhado na solicitação de contabilidade e indica o endereço IP do ponto de acesso. |
| Endereço IP emoldurado | 8 | RFC 2865 | O atributo Framed-IP-Address é encaminhado nos pacotes Accounting-Request e indica o endereço IP atual ou o último endereço IP conhecido do cliente sem fio. Ele só é enviado quando a Contabilidade Provisória está habilitada na WLAN. Observação: durante a primeira conexão do cliente, quando o cliente ainda não tiver obtido um endereço IP, o AVP do endereço IP emoldurado estará ausente no primeiro pacote Accounting-Start. No entanto, assim que o AP aprende o endereço IP do cliente, ele enviará uma mensagem de atualização interina de contabilidade assíncrona (fora do intervalo normal de atualização de contabilidade provisória) com informações de endereço IP emoldurado. |
| Aula | 25 | RFC 2865 | O atributo Class é opcionalmente encaminhado no Access-Accept e deve ser enviado sem modificações pelo cliente para o servidor de contabilidade como parte do pacote Accounting-Request se a contabilidade estiver habilitada. Os pontos de acesso Mist suportam o envio de vários atributos de classe para cada cliente. |
| ID da estação chamada | 30 | RFC 2865 | O atributo Called-Station-Id é encaminhado na Accounting-Request e indica o BSSID e o ESSID aos quais o usuário está associado. O ponto de acesso encaminhará o valor do atributo usando a seguinte formatação: XX-XX-XX-XX-XX-XX:ESSID. |
| ID da estação de chamada | 31 | RFC 2865 | O atributo Calling-Station-Id é encaminhado na Accounting-Request e indica o endereço MAC do usuário. O ponto de acesso encaminhará o valor do atributo usando a seguinte formatação: XX-XX-XX-XX-XX-XX-XX. |
| Identificador de NAS | 32 | RFC 2865 | O atributo NAS-Identifier é encaminhado na Accounting-Request e indica o identificador definido pelo usuário configurado nas configurações da WLAN. |
| tipo de status de conta | 40 | RFC 2866 | O atributo Acct-Status-Type é encaminhado no Accounting-Request e indica se o Accounting-Request marca o status da atualização contábil. Os valores com suporte incluem Start, Stop e Interim-Update. |
| Tempo de atraso da conta | 41 | RFC 2866 | O atributo Acct-Delay-Time é encaminhado na solicitação contábil e indica por quantos segundos o ponto de acesso está tentando enviar o registro contábil. Esse valor é subtraído do tempo de chegada ao servidor para encontrar a hora aproximada do evento que gera essa solicitação de contabilidade. |
| octetos de entrada de conta | 42 | RFC 2866 | O atributo Acct-Input-Octets é encaminhado na Accounting-Request e indica quantos octetos foram recebidos do usuário ao longo da conexão. Esse atributo só pode estar presente em registros de Solicitação de Contabilidade em que o Acct-Status-Type está definido como Parar. |
| octetos de saída de conta | 43 | RFC 2866 | O atributo Acct-Output-Octets é encaminhado na Accounting-Request e indica quantos octetos foram encaminhados ao usuário ao longo da conexão. Esse atributo só pode estar presente em registros de Solicitação de Contabilidade em que o Acct-Status-Type está definido como Parar. |
| id da sessão da conta | 44 | RFC 2866 | O atributo Acct-Session-Id é encaminhado no Accounting-Request e fornece um identificador exclusivo para facilitar a correspondência de registros de início, parada e provisório em um arquivo de log de contabilidade. |
| Conta autêntica | 45 | RFC 2866 | O atributo Account-Authentic é encaminhado na Accounting-Request e indica como o usuário foi autenticado. Quando a contabilidade RADIUS estiver habilitada, o ponto de acesso definirá esse valor como RADIUS. |
| Tempo da sessão da conta | 46 | RFC 2866 | O atributo Acct-Session-Time é encaminhado na Accounting-Request e indica por quantos segundos o usuário recebeu o serviço. Esse atributo só pode estar presente em registros de Solicitação de Contabilidade em que o Acct-Status-Type está definido como Parar. |
| Pacotes de entrada de conta | 47 | RFC 2866 | O atributo Acct-Input-Packets é encaminhado na Accounting-Request e indica quantos pacotes foram recebidos do usuário ao longo da conexão. Esse atributo só pode estar presente em registros de Solicitação de Contabilidade em que o Acct-Status-Type está definido como Parar. |
| Pacotes de saída de conta | 48 | RFC 2866 | O atributo Acct-Output-Packets é encaminhado na Accounting-Request e indica quantos pacotes foram encaminhados ao usuário ao longo da conexão. Esse atributo só pode estar presente em registros de Solicitação de Contabilidade em que o Acct-Status-Type está definido como Parar. |
| Causa de encerramento de conta | 49 | RFC 2866 | O atributo Acct-Terminate-Cause é encaminhado na Accounting-Request e indica como a sessão foi encerrada. Esse atributo só pode estar presente em registros de Solicitação de Contabilidade em que o Acct-Status-Type está definido como Parar. |
| Carimbo de data/hora do evento | 55 | RFC 2869 | O atributo Event-Timestamp é encaminhado na solicitação contábil e indica a hora em que o evento contábil ocorreu no ponto de acesso. |
| Tipo de porta NAS | 61 | RFC 2865 | O atributo NAS-Port-Type é encaminhado na Accounting-Request e indica o tipo de conexão física para o usuário. Esse valor de atributo é sempre definido como Wireless-802.11 pelo Mist Access Point.
|
Extensões de autorização dinâmica
O protocolo de autenticação RADIUS originalmente não suportava mensagens não solicitadas enviadas do servidor RADIUS para o ponto de acesso. No entanto, há muitos casos em que é desejável que as alterações sejam feitas nas características da sessão sem exigir que o ponto de acesso inicie a troca.
Para superar essas limitações, vários fornecedores implementaram extensões RADIUS adicionais que oferecem suporte a mensagens não solicitadas enviadas do servidor RADIUS para um ponto de acesso. Essas extensões oferecem suporte a mensagens de desconexão e alteração de autorização (CoA) que podem ser usadas para encerrar uma sessão de usuário ativa ou alterar as características de uma sessão ativa.
-
Disconnect-Request — Faz com que uma sessão de usuário seja encerrada. O pacote Disconnect-Request identifica o NAS, bem como a sessão do usuário a ser encerrada pela inclusão dos atributos de identificação mostrados na tabela 3.0.
-
CoA-Request — Faz com que as informações da sessão sejam atualizadas dinamicamente no ponto de acesso.
Atributos de solicitação de desconexão
A tabela a seguir descreve os atributos de autorização dinâmica necessários para solicitações de desconexão.
O conjunto mínimo de atributos descritos na tabela é suficiente para que a desconexão funcione. Se atributos adicionais forem enviados pelo servidor RADIUS, alguns também serão avaliados (por exemplo, o valor NAS-IP-Address deve corresponder ao endereço IP atual do AP Mist ou Acct-Session-Id deve corresponder ao ID da sessão do cliente sem fio), enquanto outros atributos que não são suportados serão ignorados (por exemplo, Acct-Terminate-Cause).
| Nome do atributo | Fornecedor | Número do atributo | Descrição |
|---|---|---|---|
| Carimbo de data/hora do evento | IETF | 55 | Hora em que a solicitação de desconexão foi emitida. O tempo será verificado pelo Mist AP. Se o desvio do relógio for muito grande, a solicitação de desconexão será descartada. A validação do atributo event-timestamp pode ser opcionalmente desabilitada na configuração da WLAN. |
| ID da estação de chamada | IETF | 31 | endereço MAC do usuário no formato XX-XX-XX-XX-XX-XX. |
Atributos de solicitação de CoA
A tabela a seguir descreve os atributos de autorização dinâmica necessários para solicitações de CoA.
O conjunto mínimo de atributos descrito na tabela é suficiente para que o CoA funcione. Outros atributos também serão avaliados se enviados pelo servidor RADIUS e suportados pela Juniper Mist. Por exemplo, o valor de NAS-IP-Address deve corresponder ao endereço IP atual do AP Juniper Mist, ou Acct-Session-Id deve corresponder à ID de sessão do cliente sem fio. Os atributos que não são suportados serão ignorados (por exemplo, quaisquer atributos adicionais do Cisco-AVPair).
Para obter mais informações sobre CoA, consulte . Mudança de autorização (CoA)
| Nome do atributo | Fornecedor | Número do atributo | Descrição |
|---|---|---|---|
| Carimbo de data/hora do evento | IETF | 55 | Hora em que a solicitação de desconexão foi emitida. O tempo será verificado pelo Mist AP. Se o desvio do relógio for muito grande, a solicitação de desconexão será descartada. A validação do atributo Event-Timestamp pode ser opcionalmente desabilitada na configuração da WLAN |
| ID da estação de chamada | IETF | 31 | endereço MAC do usuário no formato XX-XX-XX-XX-XX-XX. |
| Cisco-AVPair | Cisco (9) | 1 | comando de assinante: reautenticar |