Dlaczego publiczny adres IP klienta nie pojawia się w zakładce Authentication Logs, co powoduje, że polityka Authorized Networks nie działa?

Zmodyfikowano dnia pon, 11 mar o 3:12 PO POŁUDNIU

Czy napotkałeś na problem polegający na tym, że każdy klient otrzymuje adres IP serwera RADIUS zamiast swojego własnego publicznego adresu IP klienta?


Czy to sprawia, że publiczny adres IP klienta nie pojawia się w zakładce Authentication Logs (Dzienniki uwierzytelniania) w konsoli Rublon Admin Console?


Co z kolei sprawia, że nie działa polityka Authorized Networks (Sieci autoryzowane)?


Jeśli to jest problem, z którym się borykasz, jesteś we właściwym miejscu.


Co się dzieje?

Usługa Rublon Authentication Proxy całkowicie polega na adresie IP otrzymanym od aplikacji lub usługi VPN.


Usługa Rublon Authentication Proxy nie ma kontroli nad danymi, które otrzymuje. Usługa Auth Proxy zawsze próbuje wysłać prawdziwy publiczny adres IP klienta, ale nie zawsze jest to możliwe.


Jak usługa Auth Proxy uzyskuje publiczny adres IP?

  • Parametr client_ip_attr w pliku config.json definiuje nazwę atrybutu RADIUS, który zawiera adres IP. Usługa Auth Proxy oczekuje otrzymania atrybutu o określonej nazwie podczas uwierzytelniania, a następnie wyświetla go w zakładce Authentication Logs (Dzienniki uwierzytelniania) w konsoli Rublon Admin Console.

  • Jeśli parametr client_ip_attr nie zostanie znaleziony w pakiecie żądania uwierzytelniania od aplikacji, usługa Auth Proxy użyje adresu IP znalezionego w datagramie UDP, który jest lokalnym adresem IP klienta lub adresem IP wewnętrznego serwera RADIUS.

  • Domyślnie parametr client_ip_attr jest ustawiony na Calling-Station-Id. Niestety, aplikacje nie zawsze zwracają tę wartość poprawnie (a niektóre wcale jej nie zwracają).


Więc, jak to naprawić?

  • Zajrzyj do dokumentacji technicznej swojej aplikacji lub skontaktuj się z ich wsparciem technicznym. Szukaj informacji na temat nazwy atrybutu publicznego adresu IP klienta. Jeśli znajdziesz nazwę inną niż Calling-Station-ID, po prostu zmień wartość parametru client_ip_attr w config.json.

  • Jednak powyższe nie zawsze jest możliwe. Niektóre aplikacje po prostu nie wysyłają publicznego adresu IP klienta w żadnej formie. Jeśli tak jest w przypadku Twojej aplikacji, rozwiązanie tego problemu nie istnieje.


Które aplikacje mogą powodować taki problem?

Następujące aplikacje znane są z tego, że nie wysyłają atrybutu Calling-Station-ID:


Przydatne linki

Jak skonfigurować urządzenie Palo Alto, aby wysyłało publiczny adres IP klienta do usługi Rublon?

Czy ten artykuł był pomocny?

To wspaniale!

Dziękujemy za opinię

Przepraszamy, że nie udało nam się pomóc!

Dziękujemy za opinię

Daj nam znać, jak możemy ulepszyć ten artykuł!

Wybierz co najmniej jeden powód
Wymagana weryfikacja captcha.

Wysłano opinię

Doceniamy Twój wysiłek i postaramy się naprawić artykuł