Beispiele: Prefix an Benutzernamen binden & Domain-Prefix entfernen
Radius Rewrite ist ein neues Feature in 10.5e Build. Damit lassen sich viele interessante Scenarien abbilden.

Zwei einfache Einsatzbeispiele:
1.Bei einer Two-Factor Anmeldung haben die Benutzenamen auf dem Radius Server ein Prefix
2.Domäne “herausschneiden” bei Eingabe des Benutzernamens in Syntax “Domain\Benutzername”
In meinem 1.Beipiel ist ein Prefix „PL-„ einzufügen.

Die Rewite Policy/Action

add rewrite action Radius_Request_Prefix replace
RADIUS.REQ.USER_NAME “RADIUS.NEW_AVP(1, \”PL-\” + RADIUS.REQ.USER_NAME)”

<em>add rewrite policy Radius_Request_Prefix RADIUS.IS_CLIENT Radius_Request_Prefix </em>

<em>bind rewrite global Radius_Request_Prefix 100</em>

Im 2.Beispiel wird die  Domäne “herausgeschnitten”  für EIngabe von Benutzernamen in der Syntax Domain\Benutzername. Das ist mit folgender Action möglich:

add rewrite action Radius_NoDomain replace RADIUS.REQ.USER_NAME
RADIUS.NEW_AVP(1, RADIUS.REQ.USER_NAME.AFTER_STR(“\\”) )

Um den Request an den Radius Sever umzuschreiben, muss man den Radius Request über einen Loadbalancer schicken

Radius Server hat die IP: 192.168.178.10

<em>add service SRV_Radius <strong>192.168.178.10</strong> RADIUS 1812</em>

Der LB-VServer hat die 192.168.178.210
<em>add lb vserver VS_Radius RADIUS 192.168.178.210 1812 -persistenceType NONE -cltTimeout 120</em>

<em>bind lb vserver VS_Radius SRV_Radius</em>

Und die radiusAction ist damit:
<em>add authentication radiusAction Radius2AD -serverIP <strong>192.168.178.210</strong> -serverPort 1812 </em><em>-radNASid CNS</em>

 

Zu beachten ist noch, dass man im /tmp/aaad.debug die rewrites nicht sieht, weil erst danach am VServer der Radius Request umgeschrieben wird!

In dem momentanen Build 10.5e (NS10.5: Build 54.9008.e.nc) ist kein Binden an VServern möglich. In eDocs ist auch nur globales Binden beschrieben