Las siguientes secciones en el archivo de configuración pueden ser utilizadas para configurar la Autentificación.
Esta sección define los mecanismos de autenticación para el gatekeeper.
authrule=actions
<authrule> := SimplePasswordAuth | AliasAuth | PrefixAuth | RadAuth | RadAliasAuth | ...
<actions> := <control>[;<ras>|<q931>,<ras>|<q931>,...]
<control> := optional | required | sufficient
<ras> := GRQ | RRQ | URQ | ARQ | BRQ | DRQ | LRQ | IRQ
<q931> := Setup | SetupUnreg
ok
- La petición es autenticada por este módulo.fail
- La autenticación falla y debe ser rechazada.next
- La regla no puede determinar la petición.optional
- Si la regla no puede determinar la petición, ésta es enviada a la siguiente regla.required
- La petición debe ser autenticada por este módulo, de lo contrario ésta sería rechazada. La petición autenticada entonces sería enviada hacia la siguiente regla.sufficient
- Si la petición es autenticada, ésta es aceptada, de lo contrario ésta sería rechazada. Es decir, la regla determina la suerte de la petición. Ninguna regla debe ser ubicada después de una regla sufficient, puesto que no tendrá ningún efecto.Módulos soportados actualmente:
SimplePasswordAuth/SQLPasswordAuth
Estos módulos revisan los campos tokens or cryptoTokens de un mensaje RAS.
Los tokens deben contener al menos un generalID y un password.
Para aquellos tokens cryptoTokens, cryptoEPPwdHash separados (hashed) por MD5 simple y
aquellos tokens nestedcryptoToken separados (hashed) por HMAC-SHA1-96 (libssl debe ser instalada)
hay soporte actualmente. Para tokens tokens separados (hashed) por CAT (Cisco Access Token)
y un username/password en texto claro son soportados actualmente.
El ID y password son leídos desde la sección
[SimplePasswordAuth],
y desde una base de datos SQL para los módulos SimplePasswordAuth
y SQLPasswordAuth
.
El módulo MySQLPasswordAuth
también es soportado.
AliasAuth/SQLAliasAuth
Este módulo puede ser utilizado solamente para auntenticar RegistrationRequest (RRQ).
La dirección IP de un endpoint con un alias dado deben corresponderse con un patrón específico.
Para AliasAuth
el patrón está definido en la sección
[RasSrv::RRQAuth].
Para SQLAliasAuth
, el patrón es recuperado desde una base de datos SQL,
que está definida en la sección
[SQLAliasAuth].
PrefixAuth
La dirección IP o alias de una petición con un prefijo dado deben corresponderse o emparejarse con un patrón específico. Ver la sección [PrefixAuth] para más detalle. Actualmente el módulo puede autorizar solamente AdmissionRequest (ARQ) y LocationRequest (LRQ).
RadAuth
Provee autenticación basada en el esquema de seguridad H.235
username/password. Autentica RRQ, ARQ y Q.931 Setup mediante servidores
RADIUS remotos. Envía al Servidor RADIUS los usernames y passwords
extraídos desde los CAT (Cisco Access Tokens) tokens que viajan
dentro de los paquetes RRQ, ARQ o Setup. Por consiguiente si sus endpoints no
soportan CATs o usted no necesita el esquema de autenticación basado en usernames/password
asignados individualmente - este módulo no le servirá
(pero puede chequear además el módulo RadAliasAuth
).
Ver la sección
[RadAuth] para más detalle.
RadAliasAuth
Provee autenticación basada en alias de endpoints
y/o direcciones IP con servidores remotos RADIUS.
Esto no necesita ningún tokens H.235 dentro de los mensajes RAS,
de esta manera esto puede ser utilizado sobre una amplia variedad de sistemas de igual manera como RadAuth
.
Los mensajes RRQ, ARQ y Q.931 Setup pueden ser autentificados utilizando este modulo.
Ver la sección
[RadAliasAuth] para más detalle.
SimplePasswordAuth
como regla opcional
para chequear mensajes RRQ y ARQ. Si un mensaje RRQ no es chequeado (no contiene
campos tokens o cryptoTokens), éste es chequeado por AliasAuth
.
La regla por defecto es aceptar todas las peticiones.
SimplePasswordAuth=optional;RRQ,ARQ
AliasAuth=sufficient;RRQ
El ejemplo mostrado más abajo autentica todas las llamadas, chequeando los mensajes de señalización Setup de una manera detallada, utilizando el módulo RadAliasAuth.
RadAliasAuth=required;Setup
default=allow
Este ejemplo chequea los mensajes de registro de endpoints (RRQ) y mensajes de admission de llamadas (ARQ) por cualquiera de estos dos medios: por medio de un username/password (RadAuth) o mediante alias/IP (RadAliasAuth). Adicionalmente, si la llamada es desde un endpoint no registrado (y por consiguiente ninguna de las autenticaciones RRQ o ARQ ha sido realizada), La autenticación con mensajes Setup usando RadAliasAuth toma lugar (SetupUnreg).
RadAuth=optional;RRQ,ARQ
RadAliasAuth=required;RRQ,ARQ,SetupUnreg
default=allow
La sección define el par de userid y password utilizados por
el módulo SimplePasswordAuth
. Todos los passwords estan encriptados
utilizando la utilidad addpasswd
.
Modo de uso:
addpasswd config section userid password
Opciones:
KeyFilled=123
0
Valor por defecto para utilizar un byte de relleno durante la encriptación/desencriptación de passwords.
CheckID=1
0
Verifica si el alias se corresponde con el ID en los tokens.
PasswordTimeout=120
-1
El módulo SimplePasswordAuth
y todos sus descendientes mantendrán en caché
los passwords auténticos. Este campo define el valor del tiempo de caché en segundos
0
significa que no se utilizará caché para passwords, mientras que un valor negativo
significa que la caché nunca expira.
Autentica endpoints (H.235 enabled) utilizando passwords almacenadas en una base de datos SQL. Esta sección define el driver SQL a utilizar, los parámetros de connexion a la base de datos y las consultas a utilizar para recuperar passwords.
Driver=MySQL | PostgreSQL
El driver SQL a utilizar. Actualmente, drivers MySQL
and PostgreSQL
estan implementados.
Host=DNS[:PORT] | IP[:PORT]
localhost
Dirección del host SQL server. Puede estar en la forma de DNS[:PORT]
o IP[:PORT]
.
Como sql.mycompany.com
o sql.mycompany.com:3306
o 192.168.3.100
.
Database=billing
billing
El nombre de la base de datos a la cual se realiza la conexión.
Username=gnugk
El username utilizado para conectarse a la base de datos.
Password=secret
El password utilizado para conectarse a la base de datos.
Si el password no está especificado, se realiza un intento de conexión
a la base de datos sin un password.
Si EncryptAllPasswords
está habilitada, o una variable KeyFilled
esta definida
en esta sección, el password esta en forma encriptada y puede ser creado utilizando la
utilidad addpasswd
.
CacheTimeout=120
0
Este campo define que tiempo el par (alias;password) recuperados desde la base de datos
estarán cacheados en la memoria local. Este valor es expresado en segundos.
0
significa no cachear las passwords, mientras que un valor negativo
significa que la caché nunca expira (solamente el comando reload
refrescará la caché).
MinPoolSize=5
1
Define el número de conexiones activas SQL. Esto permite un mejor rendimiento,
puesto que más de una consulta puede ser ejecutada
al mismo tiempo. MinPoolSize=1
simula un viejo comportamiento,
cuando el acceso a la base de datos es serializada (una consulta a la vez).
Query=SELECT ...
N/A
Define la consulta SQL utilizada para recuperar passwords H.235 desde la base de datos. La consulta
es parametrizada, eso significa que el reemplazo de parámetros es realizado antes de que cada consulta
es ejecutada. Los parámetros están denotados por cadenas %1, %2, ...
Especifique %% para insertar un caracter de porcentaje antes de un dígito dentro de un string (así %%1),
especifique %{1} para permitir expansión dentro de expresiones complejas como %{1}123.
Para SQLPasswordAuth
se han definido dos parámetros:
%1
- El alias actual para el cual se consultará el password%2
- El identificador del gatekeeperAquí algunas cadenas de ejemplo:
SELECT h235password FROM users WHERE alias = '%1' AND active
SELECT h235password FROM users WHERE alias = '%1' AND gk = '%2'
Especifica la acción sobre los mensajes de recepción (confirm or deny) para el módulo AliasAuth
.
El primer alias (éste será principalmente un H323ID) del endpoint a ser
registrado es buscado en esta sección. Si un parámetro es encontrado, el valor sera
aplicado por regla general. Una regla consiste de condiciones separadas por "&".
Un registro es aceptado cuando todas las condiciones coinciden.
<authrules> := empty | <authrule> "&" <authrules>
<authrule> := <authtype> ":" <authparams>
<authtype> := "sigaddr" | "sigip"
<autparams> := [!&]*
La notación y significado de <authparams>
depende de
<authtype>
:
sigaddr
- Expresión regular extendida que tiene que corresponderse contra
la representación ''PrintOn(ostream)'' de la petición.
Ejemplo
sigaddr:.*ipAddress .* ip = .* c0 a8 e2 a5 .*port = 1720.*
sigip
- Forma especializada de 'sigaddr
'.
Escribe la dirección ip utilizando la notación decimal (comunmente utilizada):
''byteA.byteB.byteC.byteD:port
''.
Ejemplo:
sigip:192.168.242.165:1720
allow
- Siempre aceptar el alias.
deny
- Siempre rechazar el alias.
Autentica endpoints utilizando reglas almacenadas en una base de datos (Las reglas tienen el mismo formato definido en la sección [RasSrv::RRQAuth]). Esta sección define el driver SQL a ser utilizado, los parámetros de conexión a la base de datoS y las consultas a utilizar para recuperar los patroneS.
Driver=MySQL | PostgreSQL
El driver SQL a utilizar. Actualmente, drivers MySQL
and PostgreSQL
estan implementados.
Host=DNS[:PORT] | IP[:PORT]
localhost
Dirección del host SQL server. Puede estar en la forma de DNS[:PORT]
o IP[:PORT]
.
Como sql.mycompany.com
o sql.mycompany.com:3306
o 192.168.3.100
.
Database=billing
billing
El nombre de la base de datos a la cual se realiza la conexión.
Username=gnugk
El username utilizado para conectarse a la base de datos.
Password=secret
El password utilizado para conectarse a la base de datos.
Si el password no está especificado, se realiza un intento de conexión
a la base de datos sin un password.
Si EncryptAllPasswords
está habilitada, o una variable KeyFilled
esta definida
en esta sección, el password esta en forma encriptada y puede ser creado utilizando la
utilidad addpasswd
.
CacheTimeout=120
0
Este campo define que tiempo el par (alias;password) recuperados desde la base de datos
estarán cacheados en la memoria local. Este valor es expresado en segundos.
0
significa no cachear las passwords, mientras que un valor negativo
significa que la caché nunca expira (solamente el comando reload
refrescará la caché).
MinPoolSize=5
1
Define el número de conexiones activas SQL. Esto permite un mejor rendimiento,
puesto que más de una consulta puede ser ejecutada
al mismo tiempo. MinPoolSize=1
simula un viejo comportamiento,
cuando el acceso a la base de datos es serializada (una consulta a la vez).
Query=SELECT ...
N/A
Define la consulta SQL utilizada para recuperar alias desde la base de datos. La consulta
es parametrizada, eso significa que el reemplazo de parámetros es realizado antes de que cada consulta
es ejecutada. Los parámetros están denotados por cadenas %1, %2, ...
Especifique %% para insertar un caracter de porcentaje antes de un dígito dentro de un string (así %%1),
especifique %{1} para permitir expansión dentro de expresiones complejas como %{1}123.
Para SQLPasswordAuth
se han definido dos parámetros:
%1
- El alias actual para el cual se consultara el password%2
- El identificador del gatekeeperAquí algunas consultas de ejemplo:
SELECT authrule FROM users WHERE alias = '%1' AND active
SELECT 'sigip:' || host(ip) || port FROM users WHERE alias = '%1'
La sección define la regla de autenticación para el módulo PrefixAuth
.
Actualmente, solamente ARQs y LRQs pueden ser autorizados por éste módulo.
Primero, se selecciona un prefijo muy específico de acuerdo al campo destinationInfo
de la petición recibida. Entonces la petición es aceptada o rechazada
de acuerdo a la correspondencia de reglas con la netmask más específica.
Si no se encontraron correspondencias de prefijos,
y la opción default
está especificada, la petición es aceptada
o rechazada de acuerdo a eso. De lo contrario
esta es rechazada o pasada al siguiente módulo de autenticación
de acuerdo a los requerimientos del módulo.
prefix=authrule[|authrule|...]
<authrule> := <result> <authrule>
<result> := deny | allow
<authrule> := [!]ipv4:<iprule> | [!]alias:<aliasrule>
<iprule>
puede ser específicada en notación decimal punteada o
en la notación CIDR, <aliasrule>
está expresada en espreción regular.
Si el signo '!
' precede la regla, el sigificado es inverso.
555=deny ipv4:10.0.0.0/27|allow ipv4:0/0
5555=allow ipv4:192.168.1.1|deny ipv4:192.168.1.0/255.255.255.0
86=deny !ipv4:172.16.0.0/24
09=deny alias:^188884.*
ALL=allow ipv4:ALL
En esta configuración, todos los endpoints excepto los de la red 10.0.0.0/27
están permitidos llamar al prefijo 555 (excepto 5555).
A Endpoints desde 192.168.1.0/24
no se les permite llamar al prefijo 5555,
excepto 192.168.1.1
.
Endpoints queno pertenecen a 172.16.0.0/24
no se les permite llamar al prefijo 86.
Endpoints que tienen un alias que empieza con 188884 no se les permite llamar al
prefijo 09. Todas las otras situaciones estan permitidas.
Esta sección define la configuración que posibilitan la autenticación RADIUS basada en H.235 CATs (Cisco Access Tokens) presentes en las peticiones RRQ, ARQ RAS y mensajes Q.931 Setup.
Servers=SERVER1[:AUTH_PORT[:ACCT_PORT[:SECRET]]];SERVER2[:AUTH_PORT[:ACCT_PORT[:SECRET]]];...
N/A
Los servidores RADIUS a ser utilizados para la autenticación. La lista puede contener un número
arbitrario de servidores. El órden de los servidores es importante, porque los servidores
serán interrogados por el módulo RADIUS en el órden dado. Si no se indica información del
puerto, el número de puerto especificado en DefaultAuthPort
será utilizado. Si tampoco se especifica el secret,
el shared secret por defecto especificado en SharedSecret
es utilizado.
Los nombres de los servidores pueden ser direcciones IP o nombres DNS.
Servers
lines:Servers=192.168.1.1
Servers=192.168.1.1:1645
Servers=192.168.1.1:1645:1646:secret1
Servers=radius1.mycompany.com:1812
Servers=radius1.mycompany.com;radius2.mycompany.com
Servers=radius1.mycompany.com:1812:1813:secret1;radius2.mycompany.com:1812:1813:secret2
LocalInterface=IP_OR_FQDN
N/A
Interfaz de red local particular que el cliente RADIUS debe utilizar para comunicarse con los servidores RADIUS. Este parámetro puede ser útil en máquinas NAT para restringir números de interfaces de red utilizados para la comunicación RADIUS. Por defecto este valor es vacío y permite a la peticione RADIUS ser enviadas a cualquier (la que mejor conviene) interfaz de red. Si usted no esta seguro de lo que está haciendo, es mejor dejar esta opción sin establecer.
RadiusPortRange=10000-11000
N/A
Por defecto (si esta opción no está establecida) el cliente RADIUS asigna puertos dinámicamente según lo especificado por el sistema operativo. Si usted desea restringir a cliente RADIUS a utilizar solamente puertos de un rango particular, fije este parámetro.
DefaultAuthPort=PORT_NO
1812
Número de puerto por defecto que será utilizado para las peticiones de autenticacion RADIUS
(Access-Request packets), if not overriden by Servers
attribute.
SharedSecret=SECRET
N/A (empty string)
Secret utilizada para autenticar éste GnuGk (cliente NAS) con el servidor
RADIUS. Este debe ser un password criptográficamente fuerte. Este es el valor
por defecto utilizado, si no se colocó un secret específico en el parámetro Servers
.
Si EncryptAllPasswords
está habilitada, o la variable KeyFilled
está definida
en esta sección, el password está en forma encriptada y debería ser creado utilizando
la utilidad addpasswd
.
RequestTimeout=TIMEOUT_MS
2000
(miliseconds)
Tiempo de descanso (tiempo en milisegundos) para que el servidor RADIUS responda a una petición enviada por el GnuGk. Si no se recibe ninguna respuesta dentro de este período de tiempo, el siguiente servidor RADIUS es consultado.
IdCacheTimeout=TIMEOUT_MS
9000
(miliseconds)
Tiempo de descanso (tiempo en milisegundos) para que identificadores de 8-bits de la petición RADIUS sea única. Si el rango de identificadores de 8-bits se agota dentro de este período de tiempo un nuevo socket cliente (socket UDP) es asignado por el módulo RADIUS. Tomemos el ejemplo: Tenemos aproximadamente 60 RRQs/segundo; después de 4 segundos el rango de identificadores de 8-bits se agota; se asigna un nuevo socket; después de los siguientes 4 segundos, el segundo rango de identificadores de 8-bits se agota; un tercer socket es asignado; después del noveno segundo, identificadores del pool 1 estan disponibles otra vez - ... . En general, descanso demasiado largo - demasiados recursos consumidos, descanso demasiado corto - El servidor RADIUS puede tomar los paquetes entrantes como duplicados y por lo tanto borrarlos.
SocketDeleteTimeout=TIMEOUT_MS
60000
(miliseconds) - 60 s
Tiempo de descanso (milisegundos) para que sockets RADIUS no utilizados sean cerrados. Este es utilizado
conjuntamente con IdCacheTimeout
- sockets adicionales
creados durante los períodos pesados de carga del GK para atender peticiones
entrantes. Estos sockets son cerrados durante los períodos ociosos.
RequestRetransmissions=NUMBER
2
El número de veces en que una simple petición RADIUS es transmitida a cada
servidor RADIUS configurado (si no se recibe respuesta). 1 significa
no retransmisión, 2 retransmisión simple, ... . El método exácto de retransmisión
es definido por el atributo RoundRobinServers
.
RoundRobinServers=BOOLEAN
1
Método de retransmisión de peticiones RADIUS.
Si se fija en 1, la petición RADIUS es transmitida de la siguiente manera (Hasta que se recibe respuesta):
Server #1 Attempt #1, Server #2 Attempt #1, ..., Server #N Attempt #1
...
Server #1 Attempt #RequestRetransmissions, ..., Server #1 Attempt #RequestRetransmissions
Si se fija en 0, se preserva la siguiente secuencia:
Server #1 Attempt #1, ..., Server #1 Attempt #RequestRetransmissions
...
Server #N Attempt #1, ..., Server #N Attempt #RequestRetransmissions
AppendCiscoAttributes=BOOLEAN
0
En el caso de que se fije, un atributo Cisco Vendor Specific RADIUS se incluye en la petición RADIUS (h323-conf-id,h323-call-origin,h323-call-type).
IncludeTerminalAliases=BOOLEAN
1
En el caso de que se fije, un atributo Cisco VSA 'h323-ivr-out' es enviado con una lista de alias con que el endpoint se esta registrando (RRQ.m_terminalAlias). Este atributo se utiliza para proveer un control detallado sobre la lista de alias con los cuales el endpoint es pemitido registrarse. El formato de este atributo es el siguiente:
Cisco-AV-Pair = "h323-ivr-out=terminal-alias:" alias [,alias] [;]
Example:
Cisco-AV-Pair = "h323-ivr-out=terminal-alias:helpdesk,support,77771;"
UseDialedNumber=BOOLEAN
0
Seleccione el tipo de número Called-Station-Id entre el original (según lo marcado
por el usuario) - UseDialedNumber=1
- y el reescrito - UseDialedNumber=0
.
En esta sección se definen parámetros de configuración que permiten la autenticación RADIUS basada en alias de endpoints y/o direcciones IP presentes en las peticiones RAS o en las peticiones Setup Q.931. Este esquema de autenticación es muy utilizado tanto para endpoints registrados en el gatekeeper (ARQ,RRQ) como para llamadas que vienen desde endpoints no registrados(Setup).
Servers=SERVER1[:AUTH_PORT[:ACCT_PORT[:SECRET]]];SERVER2[:AUTH_PORT[:ACCT_PORT[:SECRET]]];...
N/A
Servidores RADIUS que van a ser utilizados para autenticación de peticiones RAS.
Esta lista puede contener un número arbitrario de servidores. El órden de los servidores
es importante, porque los servidores serán interrogados por el módulo RADIUS
en el órden dado. Si no se indica información del puerto, el número de puerto especificado
en DefaultAuthPort
será utilizado. Si tampoco se especifica el secret,
el shared secret por defecto especificado en SharedSecret
es utilizado.
Los nombres de los servidores pueden ser direcciones IP o nombres DNS.
Servers=192.168.3.1:1645;192.168.3.2:1812:1813:mysecret;radius.mycompany.com
LocalInterface=IP_OR_FQDN
N/A
Interfaz de red local particular que el cliente RADIUS debe utilizar para comunicarse con los servidores RADIUS. Este parámetro puede ser útil en máquinas NAT para restringir números de interfaces de red utilizados para la comunicación RADIUS. Por defecto este valor es vacío y permite a la peticione RADIUS ser enviadas a cualquier (la que mejor conviene) interfaz de red. Si usted no esta seguro de lo que está haciendo, es mejor dejar esta opción sin establecer.
RadiusPortRange=10000-11000
N/A
Por defecto (si esta opción no está establecida) el cliente RADIUS asigna puertos dinámicamente según lo especificado por el sistema operativo. Si usted desea restringir a cliente RADIUS a utilizar solamente puertos de un rango particular, fije este parámetro.
DefaultAuthPort=PORT_NO
1812
Número de puerto por defecto que será utilizada para las peticiones de autenticacion RADIUS
(Access-Request packets), if not overriden by Servers
attribute.
SharedSecret=SECRET
N/A (empty string)
Secret utilizada para autenticar éste GnuGk (cliente NAS) con el servidor
RADIUS. Este debe ser un password criptográficamente fuerte. Este es el valor
por defecto utilizado, si no se colocó un secret específico en el parámetro Servers
.
Si EncryptAllPasswords
está habilitada, o la variable KeyFilled
está definida
en esta sección, el password está en forma encriptada y debería ser creado utilizando
la utilidad addpasswd
.
RequestTimeout=TIMEOUT_MS
2000
(miliseconds)
Tiempo de descanso (tiempo en milisegundos) para que el servidor RADIUS responda a una petición enviada por el GnuGk. Si no se recibe ninguna respuesta dentro de este período de tiempo, el siguiente servidor RADIUS es consultado.
IdCacheTimeout=TIMEOUT_MS
9000
(miliseconds)
Tiempo de descanso (tiempo en milisegundos) para que identificadores de 8-bits de la petición RADIUS sea única. Si el rango de identificadores de 8-bits se agota dentro de este período de tiempo un nuevo socket cliente (socket UDP) es asignado por el módulo RADIUS. Tomemos el ejemplo: Tenemos aproximadamente 60 RRQs/segundo; después de 4 segundos el rango de identificadores de 8-bits se agota; se asigna un nuevo socket; después de los siguientes 4 segundos, el segundo rango de identificadores de 8-bits se agota; un tercer socket es asignado; después del noveno segundo, identificadores del pool 1 estan disponibles otra vez - ... . En general, descanso demasiado largo - demasiados recursos consumidos, descanso demasiado corto - El servidor RADIUS puede tomar los paquetes entrantes como duplicados y por lo tanto borrarlos.
SocketDeleteTimeout=TIMEOUT_MS
60000
(miliseconds) - 60 s
Tiempo de descanso (milisegundos) para que sockets RADIUS no utilizados sean cerrados. Este es utilizado
conjuntamente con IdCacheTimeout
- sockets adicionales
creados durante los períodos pesados de carga del GK para atender peticiones
entrantes. Estos sockets son cerrados durante los períodos ociosos.
RequestRetransmissions=NUMBER
2
El número de veces en que una simple petición RADIUS es transmitida a cada
servidor RADIUS configurado (si no se recibe respuesta). 1 significa
no retransmisión, 2 retransmisión simple, ... . El método exácto de retransmisión
es definido por el atributo RoundRobinServers
.
RoundRobinServers=BOOLEAN
1
Método de retransmisión de peticiones RADIUS.
Si se fija en 1, la petición RADIUS es transmitida de la siguiente manera (Hasta que se recibe respuesta):
Server #1 Attempt #1, Server #2 Attempt #1, ..., Server #N Attempt #1
...
Server #1 Attempt #RequestRetransmissions, ..., Server #1 Attempt #RequestRetransmissions
Si se fija en 0, se preserva la siguiente secuencia:
Server #1 Attempt #1, ..., Server #1 Attempt #RequestRetransmissions
...
Server #N Attempt #1, ..., Server #N Attempt #RequestRetransmissions
AppendCiscoAttributes=BOOLEAN
0
En el caso de que se fije, un atributo Cisco Vendor Specific RADIUS se incluye en la petición RADIUS (h323-conf-id,h323-call-origin,h323-call-type).
IncludeTerminalAliases=BOOLEAN
1
En el caso de que se fije, un atributo Cisco VSA 'h323-ivr-out' es enviado con una lista de alias con que el endpoint se esta registrando (RRQ.m_terminalAlias). Este atributo se utiliza para proveer un control detallado sobre la lista de alias con los cuales el endpoint es pemitido registrarse. El formato de este atributo es el siguiente:
Cisco-AV-Pair = "h323-ivr-out=terminal-alias:" alias [,alias] [;]
Example:
Cisco-AV-Pair = "h323-ivr-out=terminal-alias:helpdesk,support,77771;"
FixedUsername
N/A
Si este parámetro está activado, éste se superpone sobre el valor del atributo User-Name RADIUS
para peticiones RADIUS salientes. Eso significa que cada Access-Request se
autenticará en cuanto al usuario FixedUsername
.
FixedPassword
N/A
Si no esta activada esta opción, User-Password es una copia de User-Name. Por ejemplo, si User-Name
es 'john' entonces el valor de User-Password será también 'john'. Activar este
parámetro sustituye este comportamiento y el atributo User-Password será
siempre establecido al valor de FixedPassword
.
Si EncryptAllPasswords
está habilitada, o la variable KeyFilled
está definida
en ésta sección, el password está en forma encriptada y debe ser creada utilizando
la utilidad addpasswd
.
(Ni FixedUsername o FixedPassword activadas)
Todos los endpoints se autenticarán utilizando sus alias como username
y el password. Eso significa, por ejemplo, endpoint 'EP1' se autenticará
con el username 'EP1 y el password 'EP1'.
(FixedUsername no activado)
FixedPassword=ppp
Todos los endpoints se autenticarán utilizando como alias y passwords la palabra 'ppp'.
FixedUsername=ppp
FixedPassword=ppp
Todos los endpoints se autenticarán utilizando como username la palabra 'ppp'
y como password la palabra 'ppp'.
UseDialedNumber=BOOLEAN
0
Seleccione el número Called-Station-Id entre el original (como marcado
por el usuario) - UseDialedNumber=1
- y el sustituto - UseDialedNumber=0
.