Existe la opción de configurar el motor de red para autenticar el acceso de usuarios no locales mediante un servidor RADIUS (Remote autenticación Dial-In User Service, servicio de autenticación remota telefónica de usuario). RADIUS lo utilizan los motores de red para autenticar la identidad de los usuarios autorizados no locales del sistema.
Todos los usuarios de RADIUS deben tener definido un usuario del sistema Metasys para el que se crea y mantiene la autorización de Metasys. La implementación de RADIUS en los motores de red se rige por los siguientes documentos RFC de Internet:
- RFC 2865 - Remote Authentication Dial In User Service
- RFC 2548 - Microsoft® Vendor-specific RADIUS Attributes
- RFC 2759 - Microsoft Point-to-Point Protocol (PPP) Challenge Handshake Authentication Protocol (CHAP) Extensions, Version 2
La implementación de RADIUS en el sistema Metasys es la siguiente:
- Antes de añadir una cuenta de usuario de RADIUS al sistema de seguridad de un motor de red, añada el motor de red como cliente del servidor RADIUS. Si configura primero los parámetros del servidor RADIUS en el motor de red sin haber efectuado este paso preliminar, puede obtener el mensaje
Unable to login - Unexpected Error
al intentar iniciar sesión. Si se produce este error, reinicie el motor de red desde la IU de SMP. A continuación, intente iniciar sesión de nuevo. El servidor RADIUS autentica el usuario y el inicio de sesión es correcto. - El sistema Metasys no importa la autorización; todos los usuarios del sistema Metasys, tanto locales (Metasys) como no locales (RADIUS), se autorizan mediante una configuración efectuada en línea en SMP que después se almacena en la base de datos de seguridad de Metasys.
- El ID de usuario debe coincidir con lo que debe autenticar el servidor RADIUS, con o sin @domain definido por la implementación local de RADIUS.
- Como el sistema Metasys no autentica localmente a los usuarios no locales, todas las funciones de contraseña no están disponibles o se omiten al crear y mantener cuentas de usuarios no locales de Metasys. Las contraseñas de RADIUS nunca se almacenan en la base de datos de seguridad de Metasys.
- Puede configurar la autorización de RADIUS como administrador, usuario, operador, mantenimiento o cualesquiera roles personalizados que se creen en el sistema Metasys.
-
Cuando un usuario no local recibe un número de fallos consecutivos de autenticación de RADIUS y la cuenta se ha configurado para bloquearse tras recibir ese número de intentos fallidos de inicio de sesión, la autorización del sistema Metasys se bloquea, impidiéndole acceder al dispositivo del sistema Metasys hasta que un administrador del sistema Metasys desbloquee la cuenta.
- Cuando el sistema RADIUS autentica un usuario no local y la programación del sistema Metasys prohíbe el acceso durante el inicio de sesión, falla el intento de inicio de sesión del usuario.
Cuando se suministra al sistema Metasys un nombre de usuario no local para iniciar sesión, tras confirmar que la contraseña introducida cumple las reglas de complejidad de Metasys, el controlador transfiere las credenciales, incluyendo el nombre de usuario y la contraseña, al servidor RADIUS configurado para autenticación. Una vez que el servidor RADIUS haya confirmado el acceso autenticado, se le concederá autorización como se especifica en la base de datos de seguridad de Metasys.
Los mensajes de error de autenticación de RADIUS se ocultan adrede para obstaculizar posibles intrusiones de usuarios no autorizados. En Errores de RADIUS se describen algunas situaciones que pueden provocar mensajes de error. Cuando se desactiva RADIUS, el usuario recibe mensajes de inicio de sesión del sistema Metasys. Cuando se activa RADIUS, los mensajes de fallo de autenticación locales y no locales son idénticos y confusos.