Сегодня поговорим про RADIUS. Одна из его функций – проверить, что Username предоставил верный пароль и ему можно туда, куда он стучится. Я всё это пишу на основе личного опыта, поэтому вот вам сразу реальный кейс.
Во-первых, у меня в нынешней компании сейчас почти полторы сотни управляемых сетевых устройств – роутеры, коммутаторы, точки доступа. И если точки доступа у меня UnuFi и контролируются, соответственно, UniFi-контроллером, то всё остальное в силу исторического зоопарка не имеет единой точки управления. Во-вторых, нас стало больше – приняты на работу новые люди. Возникает ряд затруднений. Использовать общий на всё пароль несекурно, а запоминать сотню разных паролей – та ещё головная боль. Даже если пароли сделать одинаковыми, сменить их на сотне устройств при разглашении несколько затруднительно.
И тут к нам на помощь приходят AAA-сервисы! Пара RADIUS + Tacacs+ уже практически стала стандартом. Во всяком случае, почти везде оба протокола есть. Либо нет AAA вообще, если железка туповата от рождения. В моем случае, выбор очевиден – Tacacs+ надо поднимать специально, а вот RADIUS в лице Microsoft NPS у меня уже есть. Принципиально, настройка не отличается сложностью – инструкций в сети миллион и даже я что-то такое описывал. Но есть два интересных момента. Один, я полагаю, сетевикам известен, а вот второй для меня был неожиданностью. Во всяком случае подобная заковыка меня настигла впервые за все годы работы с NPS.
Дело в том, что RADIUS, помимо обычного “можно/нельзя”, может вернуть клиенту какую-то дополнительную информацию. Это может быть IP-адрес, который будет выдан клиенту, подключенному через vpn. Или номер VLAN’а, в который следует поместить клиента, подключившегося через Wi-Fi. Вариантов куча. Эти параметры называются атрибутами и бывают двух видов – “стандартные” и специфичные для производителей (буквально – Vendor-Specific). Во втором случае, помимо номера атрибута и его значения потребуется указать код вендора. Упомянутые IP-адрес и номер VLAN’а относятся к стандартным. Сценарии использования специфичные атрибутов примерно те же. К примеру, Mikrotik умеет поместить клиента в нужный Address List. Cisco, например, может использовать информацию из атрибута для определения уровня доступа клиента в CLI. А вот коммутаторы Tp-Link для определения уровня доступа в настройки используют стандартные атрибуты. Если нужны детали протокола, вам сюда.
Второе – оказывается, при настройке политике в поле “понятное имя клиента” используются регулярные выражения. У меня, условно, был хост Office и всё работало. Я добавляю хост Office-remote и он не работает. Зато в логах видны попытки использовать первую политику. Магия. Была, пока вдумчиво не раскурил документацию. Ну а там, когда понятно, что делать – всё просто. Реально, всю жизнь использовал NPS и никогда такое не вылезало. То ли имена были удачнее, то ли просто везло.