Radius Access-Reject [Документация VAS Experts]
Документация VAS Experts Документация VAS Experts-mobile

Настройки

  • Показать исходный текст
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • ODT преобразование
  • Экспорт страницы в формате HTML/PDF
  • Ссылки сюда
  • Показать исходный текст
  • История страницы
  • Экспорт в PDF
  • Свернуть / развернуть всё
  • ODT преобразование
  • Экспорт страницы в формате HTML/PDF
  • Ссылки сюда
    • Система контроля и анализа трафика СКАТСКАТBRASИнтеграция с Radius-серверомИнтеграция с Radius-серверомАтрибуты авторизации абонентаRadius Access-Reject

    Radius Access-Reject

    Отказ в авторизации Access-Reject (Access-Challenge трактуется тоже как отказ) должен содержать специальные атрибуты пользователя:

    • особый профиль полисинга (например, сильное урезание полосы);
    • имя профиля услуги 5 (белый список) — задает список сайтов, которые пользователь имеет право посещать.

    Отказ в авторизации трактуется L3 BRAS как специальный, сильно урезанный доступ абонента в сеть. То есть доступ будет, но не везде. Параметры этого урезанного доступа задаете вы сами в атрибутах Access-Reject с помощью специального профиля полисинга и услуги 5 + Captive Portal.

    1. Атрибуты, задающие IP-адрес абонента (тот же, что и в запросе).
    2. Имя (логин) пользователя — один из атрибутов VasExperts-UserName, Chargeable-User-Identity (CUI), User-Name.
    3. VasExperts-Policing-Profile — имя профиля полисинга для пользователя; если этот атрибут отсутствует в Access-Reject, то пользователю сопоставляется профиль по умолчанию, заданный fastpcrf.conf-параметром default_reject_policing. В Access-Reject допустимо не более одного атрибута VasExperts-Policing-Profile.
    4. VasExperts-Service-Profile — имя профиля услуги 5 (белый список), например: VasExperts-Service-Profile=5:my_white_list. Если этот атрибут отсутствует в Access-Reject, то пользователю сопоставляется профиль по услуге 5, заданный fastpcrf.conf-параметром default_reject_whitelist.
    5. VasExperts-Multi-IP-User — задает признак, один или много IP-адресов связано с данным пользователем. По умолчанию, если этот атрибут не задан, предполагается, что с пользователем связан только один IP-адрес. Следует учитывать, что этот атрибут задает важное свойство пользователя, весьма существенно влияющее на поведение fastDPI.

    Некоторые реализации Radius-клиентов не поддерживают передачу в Access-Reject атрибутов абонента. Для таких клиентов СКАТ предлагает VSA VasExperts-Restrict-User в Access-Accept.

    [СКАТ 8.3] Некоторые Radius-сервера в случае большой нагрузки отвечают пустым Access-Reject, что интерпретируется СКАТ как применение специального урезанного полисинга и услуги Белый Список. Иногда такое поведение неприемлемо, — в случае Access-Reject нужно просто использовать те услуги и полисинг, которые уже привязаны к абоненту в СКАТ. Этого можно добиться, указав в Access-Reject атрибут VasExperts-Restrict-User=255 — игнорировать ответ Радиуса.

    [СКАТ 9.5.3] Появилась возможность указать в fastpcrf.conf, нужно ли игнорировать пустой Access-Rejectс помощью параметра ignore_empty_reject (по умолчанию = 0):

    • 0 — не игнорировать — СКАТ будет пытаться «дополнить» недостающие атрибуты из настроек и запроса
    • 1 — игнорировать

    Игнорирование пустого Access-Reject равносильно тому, что на запрос авторизации не пришло никакого ответа, и спустя некоторое время СКАТ повторит запрос авторизации.