【问题标题】:RADIUS and IEC 62351半径和 IEC 62351
【发布时间】:2017-11-01 10:14:37
【问题描述】:

IEC 62351-8 指定基于角色的访问控制用于根据用户的角色减少和限制用户对系统的访问。

这个概念是执行用户需要进行身份验证的操作(用户名/密码)并拥有具有正确访问权限的角色。

我们将如何在 Radius/Freeradius 中实现这一点?

据我所知,Radius 可以根据用户/密码进行身份验证,但默认情况下不提供用户请求权限的角色/组的指示。

例如,如果我有一个同时具有操作员和安全管理员角色的用户,他们将如何请求安全管理员角色?

我假设这与属性有关,但没有明显的属性可以做到这一点

【问题讨论】:

    标签: rbac freeradius radius


    【解决方案1】:

    遇到同样的问题,这是我将使用的解决方案:

    Radius 定义了一个 Vendor-Specific 属性,其中可以存储有关角色等的信息。

    我在这里找到了一个例子: https://www.researchgate.net/publication/317167505_Handling_Role-based_Access_Control_in_the_Digital_Grid 建议按如下方式构建供应商特定类型:

    开始-供应商 IEC

    • ATTRIBUTE RoleID 1 整数

    • 属性角色定义 2 字符串

    • ATTRIBUTE AoR 3 字符串

    • ATTRIBUTE 修订版 4 整数

    • ATTRIBUTE ValidFrom 5 字符串

    • ATTRIBUTE ValidTo 6 字符串

    最终供应商 IEC

    在数字网格中处理基于角色的访问控制(提供 PDF 下载)。来自:https://www.researchgate.net/publication/317167505_Handling_Role-based_Access_Control_in_the_Digital_Grid [2018 年 1 月 9 日访问]。


    这里是一个 FreeRadius 的字典文件示例,它可以发送两个不同的令牌(id 0 和 1),其中的 tokeId 是根据属性类型计算出来的):

    供应商国际电工委员会 41912

    BEGIN-VENDOR 国际电工委员会

    属性 IEC62351-8-RoleID-0 1 个整数

    属性 IEC62351-8-roleDefinition-0 2 字符串

    属性 IEC62351-8-aor-0 3 字符串

    属性 IEC62351-8-revision-0 4 整数

    属性 IEC62351-8-ValidFrom-0 5 字符串

    属性 IEC62351-8-ValidTo-0 6 字符串

    属性 IEC62351-8-RoleID-1 11 整数

    属性 IEC62351-8-roleDefinition-1 12 字符串

    属性 IEC62351-8-aor-1 13 字符串

    属性 IEC62351-8-revision-1 14 整数

    属性 IEC62351-8-ValidFrom-1 15 字符串

    属性 IEC62351-8-ValidTo-1 16 字符串

    END-VENDOR 国际电工委员会

    【讨论】:

    • 不,因为这目前还没有在任何地方标准化,如果你在任何地方找到它,我会感到非常惊讶。我在上面的答案中添加了一个示例,我的 freeRadius 字典当前是如何定义的。
    • 嗯,我不喜欢使用多个属性编号来定义不同的标记。使用标签或使用组 TLV 或仅使用同一属性的多个实例会更好。无论如何,我已将论文中的定义添加到 FR4。
    猜你喜欢
    • 2021-09-28
    • 1970-01-01
    • 1970-01-01
    • 2020-10-06
    • 1970-01-01
    • 2020-09-12
    • 2017-12-25
    • 2016-07-10
    • 1970-01-01
    相关资源
    最近更新 更多