Radius Access-Reject
Отказ в авторизации Access-Reject
(Access-Challenge
трактуется тоже как отказ) должен содержать специальные атрибуты пользователя:
- особый профиль полисинга (например, сильное урезание полосы);
- имя профиля услуги 5 (белый список) — задает список сайтов, которые пользователь имеет право посещать.
Отказ в авторизации трактуется L3 BRAS как специальный, сильно урезанный доступ абонента в сеть. То есть доступ будет, но не везде. Параметры этого урезанного доступа задаете вы сами в атрибутах Access-Reject с помощью специального профиля полисинга и услуги 5 + Captive Portal.
- Атрибуты, задающие IP-адрес абонента (тот же, что и в запросе).
- Имя (логин) пользователя — один из атрибутов
VasExperts-UserName
,Chargeable-User-Identity
(CUI),User-Name
. VasExperts-Policing-Profile
— имя профиля полисинга для пользователя; если этот атрибут отсутствует в Access-Reject, то пользователю сопоставляется профиль по умолчанию, заданный fastpcrf.conf-параметромdefault_reject_policing
. В Access-Reject допустимо не более одного атрибута VasExperts-Policing-Profile.VasExperts-Service-Profile
— имя профиля услуги 5 (белый список), например:VasExperts-Service-Profile=5:my_white_list
. Если этот атрибут отсутствует в Access-Reject, то пользователю сопоставляется профиль по услуге 5, заданный fastpcrf.conf-параметромdefault_reject_whitelist
.VasExperts-Multi-IP-User
— задает признак, один или много IP-адресов связано с данным пользователем. По умолчанию, если этот атрибут не задан, предполагается, что с пользователем связан только один IP-адрес. Следует учитывать, что этот атрибут задает важное свойство пользователя, весьма существенно влияющее на поведение fastDPI.
Некоторые реализации Radius-клиентов не поддерживают передачу в Access-Reject атрибутов абонента. Для таких клиентов СКАТ предлагает VSA VasExperts-Restrict-User в Access-Accept.
[СКАТ 8.3] Некоторые Radius-сервера в случае большой нагрузки отвечают пустым Access-Reject, что интерпретируется СКАТ как применение специального урезанного полисинга и услуги Белый Список. Иногда такое поведение неприемлемо, — в случае Access-Reject нужно просто использовать те услуги и полисинг, которые уже привязаны к абоненту в СКАТ. Этого можно добиться, указав в Access-Reject атрибут VasExperts-Restrict-User=255
— игнорировать ответ Радиуса.
[СКАТ 9.5.3] Появилась возможность указать в fastpcrf.conf, нужно ли игнорировать пустой Access-Rejectс помощью параметра ignore_empty_reject
(по умолчанию = 0):
- 0 — не игнорировать — СКАТ будет пытаться "дополнить" недостающие атрибуты из настроек и запроса
- 1 — игнорировать
Игнорирование пустого Access-Reject равносильно тому, что на запрос авторизации не пришло никакого ответа, и спустя некоторое время СКАТ повторит запрос авторизации.