Juniper Mist attributs RADIUS
RÉSUMÉ Utilisez ces informations pour comprendre les attributs RADIUS qui ont été implémentés dans Juniper Mist™ points d’accès (AP).
Attributs d’authentification
Les services RADIUS peuvent être activés sur les points d’accès Mist pour l’authentification des utilisateurs WLAN. Les services RADIUS sont requis pour les WLAN implémentant l’authentification IEEE 802.1X.
Lors de l’authentification, le point d’accès envoie des informations utilisateur au serveur RADIUS dans un message de demande d’accès. Le serveur RADIUS renvoie l’une des réponses suivantes :
-
Access-Reject : refuse inconditionnellement l’accès à la ressource réseau demandée. Les raisons de l’échec peuvent inclure des informations d’identification non valides ou un compte inactif.
-
Access-Challenge : demande des informations supplémentaires à l’utilisateur, telles qu’un mot de passe secondaire, un code PIN, un jeton ou une carte. Access-Challenge est également utilisé dans une authentification plus complexe lorsqu’un tunnel sécurisé est établi entre l’utilisateur et le serveur Radius, par exemple pour l’authentification à l’aide du protocole EAP (Extensible Authentication Protocol).
-
Access-Accept : autorise l’accès à la ressource réseau demandée. La demande d’accès inclut souvent des informations de configuration supplémentaires pour l’utilisateur à l’aide d’attributs de retour.
Attributs d’authentification standard IETF
Le tableau suivant décrit les attributs d’authentification standard qui ont été implémentés dans Juniper Mist points d’accès conformément à la norme RFC 2865. Des extensions supplémentaires ont également été implémentées suite aux recommandations des RFC 2868 et RFC 2869.
| Nom de l’attribut | Type | RFC | Description |
|---|---|---|---|
| Nom d’utilisateur | 1 | RFC 2865 | L’attribut User-Name est transmis dans la demande d’accès et indique le nom de l’utilisateur à authentifier. |
| Mot de passe utilisateur | 2 | RFC 2865 | L’attribut User-Password est transféré dans la demande d’accès. Il indique le mot de passe de l’utilisateur à authentifier, ou la saisie de l’utilisateur suite à un Access-Challenge. |
| Adresse IP NAS | 4 | RFC 2865 | L’attribut NAS-IP-Address est transféré dans la demande d’accès et indique l’adresse IP du point d’accès demandant l’authentification de l’utilisateur. Vous pouvez configurer cet attribut dans les paramètres RADIUS d’un WLAN. Tous les points d’accès d’un WLAN envoient la valeur configurée. |
| Type de service | 6 | RFC 2865 | L’attribut Service-Type est transmis dans la demande d’accès et indique le type de service demandé par l’utilisateur ou le type de service à fournir. La valeur de l’attribut est toujours définie sur Framed-User par le point d’accès pour les WLAN 802.1X/EAP ou sur Call-Check pour les WLAN compatibles MAC-Auth. |
| MTU cadré | 12 | RFC 2865 | L’attribut Framed-MTU est transmis dans la demande d’accès et indique l’unité de transmission maximale (MTU) à configurer pour l’utilisateur. La valeur de l’attribut est toujours définie sur 1200 par le point d’accès. |
| État | 24 | RFC 2865 | L’attribut State peut être transféré dans l’Access-Challenge. Il doit être envoyé tel quel du client au serveur dans la réponse à la demande d’accès à ce défi, le cas échéant. |
| ID de station_appelée | 30 | RFC 2865 | L’attribut Called-Station-Id est transféré dans la demande d’accès et indique le BSSID et l’ESSID auxquels l’utilisateur authentifiant est associé. Le point d’accès transmet la valeur de l’attribut à l’aide de la mise en forme suivante : XX-XX-XX-XX-XX-XX :ESSID. |
| ID de poste d’appel | 31 | RFC 2865 | L’attribut Calling-Station-Id est transféré dans la demande d’accès et indique l’adresse MAC de l’utilisateur authentificateur. Il n’est utilisé que dans les paquets Access-Request. Le point d’accès transmet la valeur de l’attribut en utilisant la mise en forme suivante : XX-XX-XX-XX-XX-XX. |
| Identificateur NAS | 32 | RFC 2865 | L’attribut NAS-Identifier est transmis dans la demande d’accès. Vous pouvez configurer cet attribut dans les paramètres RADIUS d’un WLAN. Tous les points d’accès d’un WLAN envoient la valeur configurée. Vous pouvez utiliser des variables pour envoyer le nom de l’appareil, le modèle, l’adresse MAC et le nom du site. Les variables sont les suivantes : {{DEVICE_NAME}} {{DEVICE_MODEL}} {{DEVICE_MAC}} {{SITE_NAME}} |
| État proxy | 33 | RFC 2865 | L’attribut proxy-state est envoyé par proxy-server à un autre serveur lors du transfert des Access-Requests ; celle-ci doit être retournée non modifiée dans les champs Access-Accept, Access-Reject ou Access-Challenge et supprimée par le serveur proxy avant d’envoyer la réponse au serveur d’accès réseau |
| Type de port NAS | 61 | RFC 2865 | L’attribut NAS-Port-Type est transmis dans la demande d’accès et indique le type de connexion physique de l’utilisateur authentificateur. La valeur de l’attribut est toujours définie sur Wireless-802.11 par le point d’accès. |
| Infos-connexion | 77 | RFC 2869 | L’attribut Connection-Info est transmis dans la demande d’accès et indique le débit de données et le type de radio de l’utilisateur authentificateur. Le point d’accès transmet la valeur de l’attribut à l’aide de la mise en forme suivante : CONNECT XXMbps 802.11X. |
| Message EAP | 79 | RFC 2869 | L’attribut EAP-Message est transféré dans les paquets Access-Request, Access-Challenge, Access-Accept et Access-Reject et encapsule les paquets EAP (Extended Access Protocol). |
| authentificateur de message | 80 | RFC 2869 | L’attribut Message-Authenticator est transféré dans la demande d’accès et peut être utilisé pour empêcher l’usurpation de paquets CHAP, ARAP ou EAP Access-Request. |
| ID de groupe privé de tunnel | 81 | RFC 2868 | L’attribut Tunnel-Private-Group-ID est transféré dans Access-Accept et indique l’ID VLAN numérique à attribuer à l’utilisateur authentificateur. La valeur de l’attribut doit être définie sur une valeur numérique comprise entre 1 et 4094 ou sur une chaîne représentant un VLAN nommé. |
| ID de filtre | 11 | RFC 2865 | L’attribut Filter-Id peut être transféré dans Access-Accept et indique le rôle d’utilisateur auquel le client sera associé. Les groupes d’utilisateurs sont utilisés par le cadre de stratégie WxLAN Mist pour attribuer des règles de pare-feu réseau. Format : nom de groupe Exemple : employé |
Attributs spécifiques aux fournisseurs pris en charge
Le tableau suivant présente les attributs spécifiques au fournisseur (VSA) qui sont pris en charge par les points d’accès Juniper Mist conformément à la norme RFC 2865.
| Nom de l’attribut | , type | , ID du fournisseur | , attribut, mise | en forme du | numéro Description |
|---|---|---|---|---|---|
| nom_interface_airespace | 26 | 14179 | 5 | Corde | L’attribut Airespace-Interface-Name peut être transféré dans Access-Accept pour indiquer l’appartenance VLAN dynamique d’un utilisateur authentifié MAC 802.1X ou RADIUS. La valeur d’attribut renvoyée est toujours un nom du VLAN au format chaîne. La traduction du nom de VLAN en ID de VLAN doit être configurée sous WLAN à l’aide d’ID de VLAN ou de variables. Format : VLAN-Name Exemple : employee-vlan |
| nom_ACL-espace-air | 26 | 14179 | 6 | Corde |
L’attribut Airespace-ACL-Name peut être transféré dans l’onglet Access-Accept et indique le rôle d’utilisateur auquel le client sera associé. Les groupes d’utilisateurs sont utilisés par Mist cadre de stratégie WxLAN pour attribuer des restrictions précises sur les ressources réseau. Format : nom de groupe Exemple : employé |
| Rôle-utilisateur-aruba | 26 | 14823 | 1 | Corde | L’attribut Aruba-User-Role peut être transféré dans Access-Accept et indique le rôle d’utilisateur auquel le client sera associé. Les groupes d’utilisateurs sont utilisés par Mist cadre de stratégie WxLAN pour attribuer des restrictions précises sur les ressources réseau. Format : nom de groupe Exemple : employé |
| Cisco-AVPair | 26 | 9 | 1 | Corde | L’attribut Cisco-AVPair peut être transféré dans Access-Accept pour indiquer au point d’accès Mist qu’un client doit être redirigé pour l’authentification du portail et spécifier l’emplacement de l’URL de redirection. Cet attribut est généralement utilisé pour les intégrations d’accès invité avec les serveurs RADIUS Cisco ISE ou Aruba Clearpass ou pour activer la fonctionnalité de redirection de posture pour les utilisateurs 802.1X/EAP. Redirection d’URL AVPair Format : url-redirect=<valeur de l’URL> Exemple : url-redirect=https ://ise28.89mistilbs.org :8443/portal/gateway ?sessionId=0a004b1c/Jtf4peiJ5A8nPreloHRRITWvmhDCbnH3qXQ8MngtoA&portal=71984f36-f55e-4439-ba6e-903d9f77c216&action=cwa&token=1f7dca2cc907b1ad56ee4880e1cfa1ae AVPair PSK L’attribut Cisco-AVPair peut également contenir l’attribut PSK, indiquant au point d’accès Mist quelle phrase secrète est attribuée à un client donné. Notez que pour fournir une valeur PSK au point d’accès, deux attributs Cisco AVPair doivent être envoyés simultanément, l’un indiquant que la PSK sera envoyée au format ASCII et l’autre AVPair fournissant la valeur réelle de la clé pré-partagée. Format: psk-mode=ascii & psk=<phrase de passe> |
| Clé de recherche d’authentification à onze | 26 | 52970 | 3 | TLV | L’attribut Eleven-Authentication-Find-Key est utilisé pour fournir des informations supplémentaires aux serveurs RADIUS pris en charge afin de simplifier la recherche de PSK du client sans fil via RADIUS, ce qui évite d’avoir à pré-associer à l’avance un MAC du client sans fil à une PSK particulière. Cet attribut est un TLV en fonction de la RFC6929 qui contient plusieurs sous-attributs à l’intérieur. |
| Eleven-EAPOL-Frame-2 (sous-attribut ) | 1 | Octets | Le sous-attribut Eleven-EAPOL-Frame-2 contient la deuxième trame EAPOL envoyée par le client sans fil au point d’accès lors d’une négociation à 4 voies | ||
| Eleven-EAPOL-Anonce (sous-attribut) | 2 | Octets | Le sous-attribut Eleven-EAPOL-Anonce contient la première trame EAPOL envoyée par le point d’accès au client sans fil lors d’une négociation à 4 voies | ||
| Eleven-EAPOL-SSID (sous-attribut) | 3 | Corde | Le sous-attribut Eleven-EAPOL-SSID contient le nom SSID actuel auquel le client sans fil tente d’associer | ||
| Eleven-EAPOL-APMAC (sous-attribut) | 4 | Octets | Le sous-attribut Eleven-EAPOL-APMAC contient BSSID au format xxxxxxxxxxxx | ||
| Eleven-EAPOL-STMAC (sous-attribut) | 5 | Octets | Le sous-attribut Eleven-EAPOL-STMAC contient l’adresse MAC du client sans fil au format xxxxxxxxxxxx |
Attributs comptables RADIUS
Vous pouvez activer ou désactiver les serveurs de comptabilité RADIUS dans la configuration WLAN. Vous pouvez utiliser les informations comptables RADIUS pour suivre l’utilisation du réseau des utilisateurs à des fins de facturation et pour collecter des données pour la surveillance générale du réseau.
Les configurations comptables suivantes sont prises en charge :
-
Start-Stop : Juniper Mist AP transfèrent les demandes de comptabilité au début et à la fin des sessions utilisateur. Ce comportement est activé par défaut, dès qu’au moins un serveur comptable est configuré sous WLAN.
-
Start-Interim-Stop : les points d’accès Juniper Mist transfèrent les demandes de comptabilité au début et à la fin des sessions utilisateur, et régulièrement pendant toute la durée de vie des sessions. L’attribut Framed-IP-Address sera inclus dans les messages de comptabilité.
Note:L’intervalle Interim-Update peut également être remplacé dynamiquement en envoyant Acct-Interim-Interval (85) AVP à partir du serveur RADIUS.
Le tableau suivant décrit les attributs de comptabilité RADIUS standard qui ont été implémentés dans les points d’accès Juniper Mist conformément à la norme RFC 2866.
| Nom de l’attribut | Type | RFC | Description |
|---|---|---|---|
| Nom d’utilisateur | 1 | RFC 2865 | L’attribut User-Name est transmis dans la Accounting-Request et indique le nom de l’utilisateur. |
| Adresse IP NAS | 4 | RFC 2865 | L’attribut NAS-IP-Address est transmis dans la demande de comptabilité et indique l’adresse IP du point d’accès. |
| adresse IP tramée | 8 | RFC 2865 | L’attribut Framed-IP-Address est transféré dans les paquets Accounting-Request et indique l’adresse IP actuelle ou la dernière connue du client sans fil. Elle n’est envoyée que lorsque la comptabilité intermédiaire est activée sur le WLAN. Remarque : lors de la première connexion client, lorsque le client n’a pas encore obtenu d’adresse IP, Framed-IP-Address AVP sera manquant dans le premier paquet Accounting-Start. Toutefois, dès que le point d’accès apprend l’adresse IP du client, il envoie un message de mise à jour provisoire de comptabilité asynchrone (en dehors de l’intervalle normal de mise à jour de la comptabilité intermédiaire) avec des informations sur l’adresse IP encadrée. |
| Classe | 25 | RFC 2865 | L’attribut Class est éventuellement transféré dans Access-Accept et doit être envoyé sans modification par le client au serveur de comptabilité dans le cadre du paquet Accounting-Request si la comptabilité est activée. Les points d’accès Mist prennent en charge l’envoi de plusieurs attributs de classe pour chaque client. |
| ID de station_appelée | 30 | RFC 2865 | L’attribut Called-Station-Id est transmis dans la demande de comptabilité et indique le BSSID et l’ESSID auxquels l’utilisateur est associé. Le point d’accès transmet la valeur de l’attribut à l’aide de la mise en forme suivante : XX-XX-XX-XX-XX-XX :ESSID. |
| ID de poste d’appel | 31 | RFC 2865 | L’attribut Calling-Station-Id est transféré dans la demande de comptabilité et indique l’adresse MAC de l’utilisateur. Le point d’accès transmet la valeur de l’attribut en utilisant la mise en forme suivante : XX-XX-XX-XX-XX-XX. |
| Identificateur NAS | 32 | RFC 2865 | L’attribut NAS-Identifier est transmis dans la demande de comptabilité et indique l’identifiant défini par l’utilisateur configuré dans les paramètres WLAN. |
| Type-de-statut de compte | 40 | RFC 2866 | L’attribut Acct-Status-Type est transmis dans la demande de comptabilité et indique si la demande de comptabilité marque l’état de la mise à jour comptable. Les valeurs prises en charge sont Start, Stop et Interim-Update. |
| Délai de compte | 41 | RFC 2866 | L’attribut Acct-Delay-Time est transmis dans la demande de comptabilité et indique le nombre de secondes pendant lesquelles le point d’accès a tenté d’envoyer l’enregistrement comptable. Cette valeur est soustraite de l’heure d’arrivée sur le serveur pour trouver l’heure approximative de l’événement générant cette demande de comptabilité. |
| Octets d’entrée acct | 42 | RFC 2866 | L’attribut Acct-Input-Octets est transmis dans la demande de comptabilité et indique le nombre d’octets reçus de l’utilisateur au cours de la connexion. Cet attribut ne peut être présent que dans les enregistrements Accounting-Request où le type Acct-Status est défini sur Stop. |
| Octets-de-sortie-acct | 43 | RFC 2866 | L’attribut Acct-Output-Octets est transmis dans la demande de comptabilité et indique le nombre d’octets qui ont été transférés à l’utilisateur au cours de la connexion. Cet attribut ne peut être présent que dans les enregistrements Accounting-Request où le type Acct-Status est défini sur Stop. |
| Acct-session-id | 44 | RFC 2866 | L’attribut Acct-Session-Id est transféré dans la demande de comptabilité et fournit un identifiant unique pour faciliter la concordance des enregistrements de démarrage, d’arrêt et intermédiaires dans un fichier journal comptable. |
| Compte authentique | 45 | RFC 2866 | L’attribut Account-Authentic est transmis dans la demande de comptabilité et indique comment l’utilisateur a été authentifié. Lorsque la comptabilité RADIUS est activée, le point d’accès définit cette valeur sur RADIUS. |
| Acct-session-time | 46 | RFC 2866 | L’attribut Acct-Session-Time est transmis dans la demande de comptabilité et indique le nombre de secondes pendant lesquelles l’utilisateur a reçu le service. Cet attribut ne peut être présent que dans les enregistrements Accounting-Request où le type Acct-Status est défini sur Stop. |
| Paquets d’entrée de compte | 47 | RFC 2866 | L’attribut Acct-Input-Packets est transmis dans la demande de comptabilité et indique le nombre de paquets reçus de l’utilisateur au cours de la connexion. Cet attribut ne peut être présent que dans les enregistrements Accounting-Request où le type Acct-Status est défini sur Stop. |
| Paquets de sortie acct | 48 | RFC 2866 | L’attribut Acct-Output-Packets est transféré dans la demande de comptabilité et indique le nombre de paquets qui ont été transférés à l’utilisateur au cours de la connexion. Cet attribut ne peut être présent que dans les enregistrements Accounting-Request où le type Acct-Status est défini sur Stop. |
| acct-terminate-cause | 49 | RFC 2866 | L’attribut Acct-Terminate-Cause est transmis dans la demande de comptabilité et indique comment la session a été terminée. Cet attribut ne peut être présent que dans les enregistrements Accounting-Request où le type Acct-Status est défini sur Stop. |
| Horodatage d’événement | 55 | RFC 2869 | L’attribut Event-Timestamp est transmis dans la demande de comptabilité et indique l’heure à laquelle l’événement comptable s’est produit sur le point d’accès. |
| Type de port NAS | 61 | RFC 2865 | L’attribut NAS-Port-Type est transmis dans la demande de comptabilité et indique le type de connexion physique de l’utilisateur. Cette valeur d’attribut est toujours définie sur Wireless-802.11 par le point d’accès Mist.
|
Extensions d’autorisation dynamiques
À l’origine, le protocole d’authentification RADIUS ne prenait pas en charge les messages non sollicités envoyés par le serveur RADIUS au point d’accès. Toutefois, il existe de nombreux cas dans lesquels il est souhaitable de modifier les caractéristiques de session sans que le point d’accès n’ait besoin d’initier l’échange.
Pour surmonter ces limitations, plusieurs fournisseurs ont mis en place des extensions RADIUS supplémentaires qui prennent en charge les messages non sollicités envoyés depuis le serveur RADIUS vers un point d’accès. Ces extensions prennent en charge les messages de déconnexion et de changement d’autorisation (CoA) qui peuvent être utilisés pour mettre fin à une session utilisateur active ou modifier les caractéristiques d’une session active.
-
Disconnect-Request : provoque l’arrêt d’une session utilisateur. Le paquet Disconnect-Request identifie le NAS ainsi que la session utilisateur à terminer en incluant les attributs d’identification indiqués dans le tableau 3.0.
-
CoA-Request : entraîne la mise à jour dynamique des informations de session sur le point d’accès.
Attributs de demande de déconnexion
Le tableau suivant décrit les attributs d’autorisation dynamique requis pour les demandes de déconnexion.
L’ensemble minimal d’attributs indiqué dans le tableau est suffisant pour que la déconnexion fonctionne. Si des attributs supplémentaires sont envoyés par le serveur RADIUS, certains seront également évalués (par exemple, la valeur NAS-IP-Address doit correspondre à l’adresse IP actuelle du point d’accès Mist, ou Acct-Session-Id doit correspondre à l’ID de session du client sans fil), tandis que d’autres attributs non pris en charge seront ignorés (par exemple, Acct-Terminate-Cause).
| Nom de l’attribut | Nom de l’attribut du fournisseur | Description | dunuméro |
|---|---|---|---|
| Horodatage d’événement | IETF | 55 | Heure à laquelle la demande de déconnexion a été émise. L’heure sera vérifiée par le point d’accès Mist. Si la dérive de l’horloge est trop importante, la demande de déconnexion sera ignorée. La validation de l’attribut d’horodatage d’événement peut être désactivée sous la configuration du WLAN. |
| ID de poste d’appel | IETF | 31 | Adresse MAC de l’utilisateur au format XX-XX-XX-XX-XX-XX. |
Attributs CoA-Request
Le tableau suivant décrit les attributs d’autorisation dynamique requis pour les demandes CoA.
L’ensemble minimal d’attributs décrit dans le tableau est suffisant pour que le CoA fonctionne. D’autres attributs seront également évalués s’ils sont envoyés par le serveur RADIUS et pris en charge par Juniper Mist. Par exemple, la valeur NAS-IP-Address doit correspondre à l’adresse IP actuelle du point d’accès Juniper Mist, ou Acct-Session-Id doit correspondre à l’ID de session du client sans fil. Les attributs qui ne sont pas pris en charge seront ignorés (par exemple, tous les attributs Cisco AVPair supplémentaires).
Pour plus d’informations sur le CoA, reportez-vous à la section . Modification d’autorisation (CoA)
| Nom de l’attribut | Nom de l’attribut du fournisseur | Description | dunuméro |
|---|---|---|---|
| Horodatage d’événement | IETF | 55 | Heure à laquelle la demande de déconnexion a été émise. L’heure sera vérifiée par le point d’accès Mist. Si la dérive de l’horloge est trop importante, la demande de déconnexion sera ignorée. La validation de l’attribut d’horodatage d’événement peut éventuellement être désactivée dans la configuration WLAN |
| ID de poste d’appel | IETF | 31 | Adresse MAC de l’utilisateur au format XX-XX-XX-XX-XX-XX. |
| Cisco-AVPair | Cisco (9) | 1 | commande subscriber :reauthentifier |