Назад | Перейти на главную страницу

SuperMicro IPMI с использованием RADIUS на базе Windows (NPS)

Я изо всех сил пытаюсь использовать настройку RADIUS на базе Windows (сервер сетевой политики) с интерфейсами SuperMicro IPMI.

Я обнаружил, что мне нужно добавить атрибут, зависящий от поставщика H=4, I=4 (Приложение C в руководстве SuperMicro IPMI), но я не уверен в некоторых параметрах, необходимых для настройки политики NPS:

Я думаю, что мне не хватает кода поставщика или присвоенного поставщиком номера атрибута, которые оба должны быть числовыми значениями. Само значение атрибута - это H=4, I=4 строка.

Даже с идентификатором поставщика 0 я сомневаюсь, что это сработает, поскольку он будет вставлять 0x00000000 перед строковым значением ... если только опция «Это не соответствует» позволяет вам указать необработанное значение для атрибута 26.

Supermicro использовала нестандартную, несовместимую с RFC схему кодирования для своего атрибута авторизации.

Если вы посмотрите на формат Vendor-Specific 

    0                   1                   2                   3
    0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |     Type      |  Length       |            Vendor-Id
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
        Vendor-Id (cont)           |  String...
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

В начале атрибута должен быть 32-битный PEN. Но они только что вставили туда строковое значение.

Единственный способ заставить это работать (если опция «Это не соответствует» не помогает) - это использовать другой сервер RADIUS в качестве шлюза, преобразовывая атрибут RFC, например Service-Type, в искаженный атрибут Supermicro.

FreeRADIUS и радиатор, вероятно, могут быть настроены для этого.

FreeRADIUS> = 3.0.0 имеет явные положения для работы с искаженными атрибутами. Они помечаются как неизвестные типы октетов при получении от внешнего сервера, поэтому их можно передать при проксировании.

Вы также можете создать их в конфигурации, используя синтаксис атрибута OID (Attr-<TLV/OID string>).

В этом случае вы хотите Attr-26 для типа VSA необработанного поставщика. Затем вам понадобится одно из нескольких значений магической строки:

  • Обратный звонок «H = 1, I = 1» - Attr-26 = 0x483D312C20493D31
  • Пользователь «H = 2, I = 2» - Attr-26 = 0x483D322C20493D32
  • Оператор «H = 3, I = 3» - Attr-26 = 0x483D332C20493D33
  • Администратор «H = 4, I = 4» - Attr-26 = 0x483D342C20493D34