Hur man får olika privilegier med RADIUS-autentisering: Hur man får olika privilegier med RADIUS-autentisering: I ZyWALL USG kan du konfigurera lokala användare med olika privilegier som admin, limited-admin, användare och gäster. Detta gör att användare kan ha olika behörigheter när de loggar in på USG. För ext-user-konton, som autentiseras av en extern RADIUS-server, ställer USG som behörighet för kontot som “user” som standard om RADIUS-servern inte har information om användartyp. Hur tilldelar vi användartypen som definierats på USG till ext-user-kontot på RADIUS-servern så att USG kan få användartypen när en RADIUS-användare har verifierats? I den här guiden visar vi dig hur du konfigurerar ett leverantörsspecifikt attribut för att ange användartyp för varje användargrupp på RADIUS (NPS) -servern.
Konfigurationsguide:
1. Villkor
RADIUS-server: Windows Server 2008 R2
Skapa tre grupper på RADIUS-servern: csoadmin, csosecurity och csoguest. Lägg till medlemmar i varje grupp.
2. Mål att uppnå
Tilldela användartyp för varje användargrupp på RADIUS-servern.
RADIUS Serverkonfiguration
1. Gå till administratörsverktyg> Network Policy Server .
2. Välj CSO_admin och gå till Egenskaper .
3. Gå till Inställningar> RADIUS-attribut> Leverantörspecifik . Klicka på knappen Lägg till .
4. Välj leverantörsspecifik och klicka på knappen Lägg till .
5. Klicka på knappen Lägg till .
6. Ange ZyXELs leverantörskod: 890 . Klicka på knappen Konfigurera attribut .
7. Du måste konfigurera användartyp, hyrestid och återhämtningstid i varje attribut.
I ZyXEL USG-serien, support fyra typer av användare: admin, limited-admin, user och guest.
I det här exemplet sätter vi "admin" som privilegium för denna grupp.
3. Användartyp
Leverantörstilldelat attributnummer: 1 Attributformat: String
Attributvärde: admin
Lease-tiden
Leverantörstilldelat attributnummer: 2 Attributformat: String
Attributvärde: 0 ~ 1440
Återautentisering tid
Leverantörstilldelat attributnummer: 3 Attributformat: String
Attributvärde: 0-1440
8. Användartyp, hyrestid och reauth-tid konfigureras i varje attribut för gruppen CSO_admin.
9. Klicka på Apply för att avsluta behörighetsinställningen.
10. Upprepa steg 1 till 9 för att slutföra den leverantörspecifika attributkonfigurationen för nätverkspolicy CSO_guest och CSO_support.
4. Verifiering
Använd webbverifiering för att kontrollera användartypen för den inloggade användaren.
Topologi
1. Markera kryssrutan Aktivera webbautentisering i USG.
2. Gå till KONFIGURATION> Objekt> AAA-server> RADIUS och konfigurera RADIUS-server på USG
3. Gå till KONFIGURATION> Objekt> AAA-server> RADIUS och konfigurera RADIUS-server på USG
4. Använd kontot "CSO_guest" och administratörskontot "Bob" på gästnivå för att logga in på enheten respektive
Testresultat för konto "CSO_guest"
Utan att konfigurera leverantörspecifika attribut för gruppen för kontot "CSO_guest", tillhör det typen "Användare" när du går för att kontrollera de inloggade användarna i USG.
Efter att ha följt konfigurationsguiden för att ställa in det leverantörspecifika attributet för gruppen "CSO_guest" och använda samma gästnivå-konto "CSO_guest" för att logga in på enheten igen, blir användartypen "Gäst"
Testresultat för konto "Bob"
Utan att konfigurera leverantörspecifika attribut för gruppen för kontot "Bob", tillhör det typen "Användare" när du går för att kontrollera de inloggade användarna i USG.
Efter att ha följt konfigurationsguiden för att ställa in det leverantörspecifika attributet för gruppen "CSO_admin" och använda samma administratörskonto "Bob" för att logga in på enheten igen, blir användartypen "Administratör".
5. Sammanfattning
Genom att följa den här guiden kan du tilldela olika användartyper för RADIUS-gruppkonton enligt deras privilegium, precis som de lokala användarna. ZyWALL USG kommer sedan att få användartyp, hyrestid och återautorisationstid från RADIUS-servern när den inloggade användaren har verifierats, vilket användes för att kontrollera åtkomst till tjänster i USG.
När du stöter på problem kan du försöka lösa det med följande guide: