RADIUS パラメータ

RADIUS 検索パネルの定義

Deja に RADIUS 検索を追加するには、Deja.properties ファイルの「Radius Search Panel」セクションで定義します。RADIUS_RU_SEARCH 定義でリモートユーザー検索を宣言し、RADIUS_RAS_SEARCH 定義でリモートアクセスサーバー検索を定義します。さらに、1 行に 1 つずつ検索を定義します。検索定義は、検索名 (たとえば、s_user)、「検索タイプ (Type of Search)」オプションボタンに表示するラベル (たとえば、RADIUS_RU_SEARCH_USER_LABEL) と検索定義 (たとえば、((& (objectclass=remoteuser)(uid={$uid;RADIUS_RU_UID_ATTR_LABEL$})))からなります。

RADIUS_COMPLEX_SEARCH_LIST

複合検索結果リストの属性と見出しラベルのリストを指定します。デフォルトでは、cn、iphostnumber、および uid 属性が指定されます。

RADIUS リモートアクセスサーバー検索を追加するには

mail 属性の RADIUS リモートアクセスサーバー検索を追加するには、次の手順に従います。

1. RADIUS_RAS_SEARCH 行で検索定義を宣言します。

   RADIUS_RAS_SEARCH=s_name;RADIUS_RAS_SEARCH_NAME_LABEL, s_addr;RADIUS_RAS_SEARCH_IPADDR_LABEL, s_mail;Search by Email

   新しい検索名は s_mail です。「検索タイプ (Type of Search)」オプションボタンに表示するラベルは、「Search by Email」です。

2. 検索を定義します。

   RADIUS_RAS_FILTER.s_mail= (& (objectclass=nas) (uid={$uid;Email;string$}) )

   式 {$uid;Email;string$} により、この検索ではユーザーの入力は文字列であり (string)、テキストフィールドに基づいて表示するラベルは Email であり (Email)、検索文字列はユーザー ID である (uid) ことが Deja に伝えられます。

3. 検索結果リストの見出しを定義します。

   RADIUS_RAS_LIST.s_mail= cn;RADIUS_RAS_CN_ATTR_LABEL, uid;Email

   検索用の RADIUS_RAS_LIST を指定しないと、デフォルトの見出し (RADIUS_RAS_LIST.default) が使用されます。

4. Deja を終了してから再起動します。

   RADIUS の「リモートアクセスサーバーの検索 (Remote Access Server Search)」パネルに検索の種類が追加されます。

   ---

   例 A-7 RADIUS の検索定義

   
   

   # # Radius SEARCH PANEL # # Searches defined for Remote Users RADIUS_RU_SEARCH=s_user;RADIUS_RU_SEARCH_USER_LABEL, s_name;RADIUS_RU_SEARCH_NAME_LABEL, l_bl_acc;RADIUS_RU_LIST_BLOCKED_ACCOUNTS_LABEL , l_ppp;RADIUS_RU_LIST_PPP_USER_LABEL, l_slip;RADIUS_RU_LIST_SLIP_USER_LABEL, l_login;RADIUS_RU_LIST_LOGIN_USER_LABEL, s_n_u;RADIUS_RU_SEARCH_NAME_UID_LABEL # Associated filters pour Remote Users searches RADIUS_RU_FILTER.s_user= (& (objectclass=remoteuser)(uid={$uid;RADIUS_RU_UID_ATTR_LABEL$})) RADIUS_RU_FILTER.s_name= (& (objectclass=remoteuser)(cn={$cn;RADIUS_RU_CN_ATTR_LABEL$})) RADIUS_RU_FILTER.l_bl_acc= (& (objectclass=remoteuser)(radiusAuthFailedAccess>=$RADIUS_MAX_FAIL)) RADIUS_RU_FILTER.l_ppp= (& (objectclass=remoteuser)(radiusPppProfile=*)(radiusPppPasswd=*)) RADIUS_RU_FILTER.l_slip= (& (objectclass=remoteuser)(radiusSlipProfile=*)(radiusSlipPasswd=*)) RADIUS_RU_FILTER.l_login= (& (objectclass=remoteuser)(radiusLoginProfile=*)(radiusLoginPasswd=*)) RADIUS_RU_FILTER.s_n_u= (& (objectclass=remoteuser)(cn={$cn;RADIUS_RU_CN_ATTR_LABEL$})(uid={$uid;RADIUS_R U_UID_ATTR_LABEL$})) # Attributes to be included (listed) in the searches' results RADIUS_RU_LIST.s_user= cn;RADIUS_RU_CN_ATTR_LABEL, uid;RADIUS_RU_UID_ATTR_LABEL, framedProtocol;RADIUS_RU_FRAMEDPROTOCOL_ATTR_LABEL RADIUS_RU_LIST.l_bl_acc= cn;RADIUS_RU_CN_ATTR_LABEL, uid;RADIUS_RU_UID_ATTR_LABEL, radiusAuthFailedAccess;RADIUS_RU_RADIUSAUTHFAILEDACCESS_ATTR_LABEL RADIUS_RU_LIST.default= cn;RADIUS_RU_CN_ATTR_LABEL, uid;RADIUS_RU_UID_ATTR_LABEL # Searches defined for RASes (Remote Access Servers) RADIUS_RAS_SEARCH=s_name;RADIUS_RAS_SEARCH_NAME_LABEL, s_addr;RADIUS_RAS_SEARCH_IPADDR_LABEL # Associated filters pour NAS searches RADIUS_RAS_FILTER.s_name= (& (objectclass=NAS)(cn={$cn;RADIUS_RAS_CN_ATTR_LABEL$})) RADIUS_RAS_FILTER.s_addr= (& (objectclass=NAS)(iphostnumber={$iphostnumber;RADIUS_RAS_IPHOSTNUMBER_ATTR_LAB EL;ipaddr$})) # Attributes to be included (listed) in the searches' results RADIUS_RAS_LIST.default= cn;RADIUS_RAS_CN_ATTR_LABEL, iphostnumber;RADIUS_RAS_IPHOSTNUMBER_ATTR_LABEL # Attributes to be listed in case of a complex search RADIUS_COMPLEX_SEARCH_LIST=cn;RADIUS_CN_ATTR_LABEL, iphostnumber;RADIUS_RAS_IPHOSTNUMBER_ATTR_LABEL, uid;RADIUS_RU_UID_ATTR_LABEL

   ---

RADIUS 作成パネルの定義

RADIUS の「作成 (Create)」パネルの「属性の選択 (Choose Attributes)」リストに表示する属性に、代替名を定義できます。4 種類の入力タイプ (int、string、crypt、ipaddr) のいずれか 1 つに制限することもできます。デフォルトは「string」です。

RADIUS_RU_ADD_COMMON で、すべてのリモートユーザープロファイルに共通するリモートユーザーエントリの属性を定義します。さらに、RADIUS_RAS_ADD_COMMON で、すべてのリモートユーザープロファイルに共通するリモートアクセスサーバーエントリの属性を定義します。次に、属性定義の構文を示します。

RADIUS_RAS_ADD_COMMON= attribute_name;label;input_type, ... 

attribute_name は属性名です。

label は、属性名の代わりに「属性の選択 (Choose Attributes)」リストに表示する名前です。

input_type は、4 種類の基本入力タイプ (int、string、crypt、ipaddr) のいずれか 1 つです。デフォルトは「string」です。

例 A-8 RADIUS の「作成 (Create)」パネル定義

# Radius ADD PANEL
 
RADIUS_RU_ADD_COMMON=      uid;RADIUS_RU_UID_ATTR_LABEL,
grpCheckInfo;RADIUS_RU_GRPCHECKINFO_ATTR_LABEL,
grpReplyInfo;RADIUS_RU_GRPREPLYINFO_ATTR_LABEL,
framedIPAddress;RADIUS_RU_FRAMEDIPADDRESS_LABEL;ipaddr,
userPassword;RADIUS_RU_USERPASSWORD_LABEL;crypt
RADIUS_RAS_ADD_COMMON=    
iphostNumber;RADIUS_RAS_IPHOSTNUMBER_ATTR_LABEL;ipaddr,
sharedKey;RADIUS_RAS_SHAREDKEY_LABEL;crypt

RADIUS プロファイル

デフォルトの Deja.properties ファイルには、3 種類の RADIUS リモートユーザープロファイルが用意されています。リモートアクセスサーバープロファイルについては、デフォルトの Deja.properties ファイルでは定義されていません。プロファイルを追加したり、既存のプロファイルに属性を追加したりできますが、既存のプロファイルからデフォルトの属性を削除しないように注意してください。

RADIUS_RU_PROFILE / RADIUS_RAS_PROFILE

Deja が使用できる RADIUS プロファイルを指定します。デフォルトのプロファイルは SLIP、PPP、および LOGIN です。次に構文を示します。

RADIUS_RU_PROFILE= profile_name;label, profile_name;label ... RADIUS_RAS_PROFILE= profile_name;label, profile_name;label ...

profile_name はプロファイル名です。label は「作成 (Create)」または「変更 (Modify)」パネルに表示するラベルです。

RADIUS_RU_ADD.profile_name / RADIUS_RAS_ADD.profile_name

エントリに自動的に追加されるデフォルトの属性を定義します。次に構文を示します。

RADIUS_RU_ADD.profile_name= attribute;label;input_type, ... RADIUS_RAS_ADD.profile_name= attribute;label;input_type, ...

attribute は、エントリ定義に自動的に追加する属性です。label はエントリ定義で表示する名前です。input_type は、4 種類の基本入力タイプ (int、string、crypt、ipaddr) のいずれか 1 つです。デフォルトは「string」です。

例 A-9 RADIUS のプロファイル定義

# Profiles defined for Remote Users (RU)
RADIUS_RU_PROFILE=         ppp_p;RADIUS_RU_PPP_PROFILE_LABEL,
slip_p;RADIUS_RU_SLIP_PROFILE_LABEL, login_p;RADIUS_RU_LOGIN_PROFILE_LABEL
 
# Mandatory RU profile attributes (you can edit the next line by ADDING
attributes, but
# NEVER erase the attributes that are given by default)
RADIUS_RU_ADD.ppp_p=      
radiuspppprofile;RADIUS_RU_RADIUSPPPPROFILE_ATTR_LABEL;int,
radiusPppPasswd;RADIUS_RU_RADIUSPPPPASSWD_ATTR_LABEL;crypt
RADIUS_RU_ADD.slip_p=     
radiusSlipprofile;RADIUS_RU_RADIUSSLIPPROFILE_ATTR_LABEL;int,
radiusSlipPasswd;RADIUS_RU_RADIUSSLIPPASSWD_ATTR_LABEL;crypt
RADIUS_RU_ADD.login_p=    
radiusLoginprofile;RADIUS_RU_RADIUSLOGINPROFILE_ATTR_LABEL;int,
radiusLoginPasswd;RADIUS_RU_RADIUSLOGINPASSWD_ATTR_LABEL;crypt
 
 
# Profiles defined for Remote Access Servers (RAS)
#RADIUS_RAS_PROFILE=       no defined profiles
 
# Mandatory RAS profile attributes
#RADIUS_RAS_ADD.??=        no defined profiles

RADIUS 一般パラメータ

RADIUS に関して、次の一般的なパラメータが定義されています。RADIUS_RU_OCLASS、RADIUS_RAS_OCLASS、RADIUS_RU_ROOT、 RADIUS_RAS_ROOT、および RADIUS_MAX_FAIL 定義は、radius.mapping(4) ファイルに基づいて、dejasync ユーティリティに自動生成させることができます。付録 B 「dejasync コマンドリファレンス」 または dejasync(1M) のマニュアルページを参照してください。

RADIUS_RU_OCLASS

RADIUS リモートユーザーエントリの種類に対応するオブジェクトクラスを指定します。エントリの種類ごとに 1 つずつオブジェクトクラスが必要です。dejasync ユーティリティを使用した場合、この定義は自動生成されます。デフォルトのオブジェクトクラスは remoteuser です。

RADIUS_RAS_OCLASS

RADIUS リモートアクセスサーバーエントリの種類に対応するオブジェクトクラスを指定します。エントリの種類ごとに 1 つずつオブジェクトクラスが必要です。dejasync ユーティリティを使用した場合、この定義は自動生成されます。デフォルトのオブジェクトクラスは nas です。

RADIUS_RU_ROOT

RADIUS リモートユーザー検索で使用するルートエントリの識別名 (DN) を指定します。これは、RADIUS の「作成 (Create)」パネルに表示されるデフォルトの親エントリでもあります。dejasync ユーティリティを使用した場合、この定義は自動生成されます。デフォルト値は o=xyz_remote_users, c=us です。

RADIUS_RAS_ROOT

RADIUS リモートアクセスサーバー検索で使用するルートエントリの識別名 (DN) を指定します。これは、RADIUS の「作成 (Create)」パネルに表示されるデフォルトの親エントリでもあります。dejasync ユーティリティを使用した場合、この定義は自動生成されます。デフォルト値は o=xyz_ras, c=us です。

RADIUS_RU_NAMINGATTR

リモートユーザーエントリに関して、RADIUS の「作成 (Create)」パネルで使用できる名前付き属性を指定します。コンマで区切ったリストです。デフォルトの名前付き属性は cn と uid です。

RADIUS_RAS_NAMINGATTR

リモートアクセスサーバーエントリに関して、RADIUS の「作成 (Create)」パネルで使用できる名前付き属性を指定します。コンマで区切ったリストです。デフォルトの名前付き属性は cn です。

RADIUS_MAX_FAIL

RADIUS リモートユーザーのブロックされたアカウント検索について、検索限度を指定します。ブロックされたアカウント検索を実行すると、RADIUS_MAX_FAIL の値以上の radiusAuthFailedAccess 属性の値をもつエントリが返されます。デフォルト値は 4 です。dejasync ユーティリティを使用した場合、この定義は自動生成されます。

例 A-10 RADIUS の一般的なパラメータ

# Add object classes (a single objectclass is accepted for every type)
RADIUS_RU_OCLASS=          remoteuser
RADIUS_RAS_OCLASS=         nas
 
# Radius COMMON to ADD and SEARCH Panels
# Root DN: a single RootDN is accepted for every type
RADIUS_RU_ROOT=            o=xyz_remote_users,c=us
RADIUS_RAS_ROOT=           o=xyz_ras,c=us
 
# Naming attributes: a comma (,) separated list is accepted for every type
RADIUS_RU_NAMINGATTR=      cn, uid
RADIUS_RAS_NAMINGATTR=     cn
RADIUS_MAX_FAIL=           4