IEC 62351-8规定,基于角色的访问控制用于根据用户角色减少和限制用户对系统的访问。
该概念是执行用户需要对其自身进行身份验证的操作(用户名/密码)并具有具有正确访问权限的角色。
我们如何在Radius / Freeradius中实现它?
据我所知,Radius可以根据用户/密码进行身份验证,但默认情况下不会提供用户要求权限的角色/组的指示。
例如,如果我有一个同时具有操作员和安全管理员角色的用户,他们将如何申请安全管理员角色?
我认为这与属性有关,但没有明显的属性可以做到这一点
遇到同样的问题,这是我将使用的解决方案:
Radius定义Vendor-Specific属性,其中可以存储有关角色等的信息。
我在这里找到了一个例子:https://www.researchgate.net/publication/317167505_Handling_Role-based_Access_Control_in_the_Digital_Grid,它建议如下构建供应商特定类型:
BEGIN-VENDOR IEC
终结者IEC
处理数字网格中基于角色的访问控制(PDF下载可用)。可从:https://www.researchgate.net/publication/317167505_Handling_Role-based_Access_Control_in_the_Digital_Grid [2018年1月9日访问]。
这里是一个FreeRadius字典文件的例子,可以发送两个不同的令牌(id 0和1),其中令牌Id是根据属性类型计算的:
VENDOR International-Electrotechnical-Commission 41912
BEGIN-VENDOR International-Electrotechnical-Commission
ATTRIBUTE IEC62351-8-RoleID-0 1整数
ATTRIBUTE IEC62351-8-roleDefinition-0 2字符串
ATTRIBUTE IEC62351-8-aor-0 3字符串
ATTRIBUTE IEC62351-8-revision-0 4整数
ATTRIBUTE IEC62351-8-ValidFrom-0 5字符串
ATTRIBUTE IEC62351-8-ValidTo-0 6字符串
ATTRIBUTE IEC62351-8-RoleID-1 11整数
ATTRIBUTE IEC62351-8-roleDefinition-1 12字符串
ATTRIBUTE IEC62351-8-aor-1 13字符串
ATTRIBUTE IEC62351-8-revision-1 14 integer
ATTRIBUTE IEC62351-8-ValidFrom-1 15字符串
ATTRIBUTE IEC62351-8-ValidTo-1 16字符串
END-VENDOR国际电工委员会