Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 3 subscribers
  • Views 3191 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multiple RADIUS server - different scenarios

ciscoman
Hi,
is it possible to assign multiple RADIUS server to certain scenarios?

Something like:

Webadmin ->  RADIUS-Group-Admin -> RADIUS-Server-IP1
RemoteAccess ->  RADIUS-Group-user -> RADIUS-Server-IP2

On the user/group settings, I can only add membership type = RADIUS.

ASG v8.1x
FreeRadius

Thanks


This thread was automatically locked due to age.
  • 0
    I'm no RADIUS guru, but I think you do this a bit differently.  When Astaro tries to authenicate a user against a RADIUS server, it sends the name and a label.  Here's the list from the User Manual: 
    User Authentication Service NAS Identifier 

    SSL VPN                 ssl  

    PPTP                    pptp  

    IPsec                   ipsec  

    L2TP over IPsec         l2tp  

    SMTP proxy              smtp  

    User Portal             portal  

    WebAdmin                webadmin  

    SOCKS proxy             socks  

    Web Filter              http  

    Authentication Client   agent


    I think it's in the RADIUS server where you choose which users qualify for which services.

    Cheers - Bob
  • 0 in reply to BAlfson
    I'm no RADIUS guru, but I think you do this a bit differently.  When Astaro tries to authenicate a user against a RADIUS server, it sends the name and a label.  Here's the list from the User Manual: 
    User Authentication Service NAS Identifier 

    

    

    I think it's in the RADIUS server where you choose which users qualify for which services.

    

    Cheers - Bob


    Hi,
    NAS identifier do work when you have a 'single' RADIUS server which supports the identifier.
    However, my questions is more or less how  to assign user groups to different RADIUS server. (They do not see each other; to forward to the first one and then to the second one is not an option.)

    Thanks

    ciscoman
  • 0
    OK, why not just add a second RADIUS server?  For the people that are on the first server, they will be authenticated by it and Astaro won't try the following servers.  For those on the second server, authentication on the first RADIUS server will fail, and they will be authenticated on the second.

    Does that do what you want?

    Cheers - Bob
  • 0 in reply to BAlfson
    OK, why not just add a second RADIUS server?  For the people that are on the first server, they will be authenticated by it and Astaro won't try the following servers.  For those on the second server, authentication on the first RADIUS server will fail, and they will be authenticated on the second.

    Does that do what you want?

    Cheers - Bob


    Will try and give feedback if this works.

    Thanks
    ciscoman
  • 0 in reply to ciscoman
    In theory, it does work. 

    However, it is not possible to assign a type of user to a specific group.
    So, the successful authentication is for the RADIUS group and therefore
    the access is possible to user portal and webadmin. And this is a nightmare.

    The challenge is now to take care that the webadmin access must be sourced by an different IP network range than the user portal access. 

    I would prefer a solution to clearly separate the service and the corresponding RADIUS server.

    ciscoman
  • 0
    The group assignment must be in the RADIUS server.  If you want to use different groups in Astaro, you need to choose a different method of authentication.

    Cheers - Bob