La section suivante du fichier de configuration permet de configurer l'authentification.
La section définie le méchanisme d'authentification du gatekeeper.
authrule=actions
<authrule> := SimplePasswordAuth | AliasAuth | PrefixAuth | RadAuth | RadAliasAuth | ...
<actions> := <control>[;<ras>|<q931>,<ras>|<q931>,...]
<control> := optional | required | sufficient
<ras> := GRQ | RRQ | URQ | ARQ | BRQ | DRQ | LRQ | IRQ
<q931> := Setup | SetupUnreg
ok
- La requête est authentifié par le module.fail
- L'authentification a echoué et doit être rejeté.next
- La règle ne permet pas d'authentifié la requête.optional
- Si la règle ne peut authentifié la requête, on passe à la règle suivante.required
- Les requêtes doivent être authentifiées par ce module, ou elles seront rejetées. Une fois authentifiée par ce module, la requête passera à la règle suivante.sufficient
- Si la règle est authentifié, elle est acceptée, sinon elle est rejetée. Aucune règle ne devrait suivre une règle 'sufficient' car elle ne servira jamais.Modules actuellement supportés:
SimplePasswordAuth/SQLPasswordAuth/LDAPPasswordAuth
Ces modules vérifient les champs tokens or cryptoTokens du message RAS.
Les champs doivent au moins contenir generalID and password.
Le hashage simple MD5 des champs cryptoTokens, cryptoEPPwdHash et le hashage HMAC-SHA1-96 (libssl doit être installé) du champ nestedcryptoToken sont maintenant supportés. les hashages des champs par CAT (Cisco Access Token) et en texte clair (username/password) sont aussi supportés.
Le ID et le password sont lus depuis la section
[SimplePasswordAuth], une base de données SQL ou LDAP respectivement par les modules SimplePasswordAuth
, SQLPasswordAuth
et LDAPPasswordAuth
. Le module MySQLPasswordAuth
afin de conserver la compatibilité avec les versions précédentes.
AliasAuth/SQLAliasAuth/LDAPAliasAuth
Ce module ne peut être utilisé que pour l'authentification des RegistrationRequest (RRQ).
L'adresse IP d'un terminal et un alias donné doit vérifier une pattern donnée.
Pour AliasAuth
, la pattern est définie dans la section
[RasSrv::RRQAuth].
Pour SQLAliasAuth
, la pattern est rappatrier à partir d'une base de données SQL, définie dans la section
[SQLAliasAuth].
Pour LDAPAliasAuth
, l'alias (par défaut: mail attribute) et l'adresse IP (par défaut: voIPIpAddress attribute) doivent être trouvé dans une entrée LDAP.
PrefixAuth
A l'origine ce module se nommait GkAuthorize
.
L'adresse IP et l'alias de la requête et un préfix donné doivent vérifier une pattern donnée. Pour plus de détails voir la section
[PrefixAuth].
Actuellement le module ne sait vérifier que les AdmissionRequest (ARQ) et les LocationRequest (LRQ).
RadAuth
Ce module permet l'authentification suivant le schéma de sécurité username/password d'H.235. Il authentifie RRQ, ARQ, Q931 Setup grâce à des serveurs RADIUS distants. Il envoie aux serveurs RADIUS les usernames/passwords extrait du tokens CAT (Cisco Access Tokens) se trouvant dans les paquets RRQ, ARQ et Setup. Donc si votre terminal ne supporte pas les CATs ou bien you n'avez pas besoin d'un schéma d'authentification basé des usernames/password individuels - ce n'est pas le module qu'il vous faut (vous pouvez regarder du côté du RadAliasAuth
). Pour plus de détails se référer à la section
[RadAuth].
RadAliasAuth
Ce module permet d'authentifier à partir des alias de terminals et/ou des adresses IP "call signalling" avec l'aide de serveurs RADIUS. Il ne nécessite aucun tokens H.235 dans les messages RAS, il peut donc être uilisé avec une gamme plus large de systemes contrairement au module RadAuth
. Les messages RRQ, ARQ, et Q.931 Setup peuvent être authentifiés avec ce module. Pour plus de détails se référer à la section
[RadAliasAuth].
Vous pouvez aussi configurer une règle afin de vérifier seulement une partie du message RAS. L'exemple suivant montre comment vérifier uniquement les RRQ et ARQ à partir du module SimplePasswordAuth
avec une règle optionnelle. Si un RRQ n'est pas vérifié (ne contient pas de champs tokens ou cryptoTokens), il est passé à la règle suivante AliasAuth
. La règle par défaut est d'acepter toutes les requêtes.
SimplePasswordAuth=optional;RRQ,ARQ
AliasAuth=sufficient;RRQ
L'exemple ci-dessous authentifie tous les appels, vérifie le détils des messages de signalisation Setup avec le module RadAliasAuth.
RadAliasAuth=required;Setup
default=allow
L'exemple suivant vérifie l'enregistrement des terminaux (RRQ) et l'admission d'appel (ARQ) soit par username/password (RadAuth) soit par alias/IP (RadAuthAlias). De plus, si l'ppel provient d'un terminal non enregistré (ET qu'aucune authentification par RRQ ou ARQ n'est été faite), le module RadAliasAuth vérifie alors le message Setup (SetupUnreg).
RadAuth=optional;RRQ,ARQ
RadAliasAuth=required;RRQ,ARQ,SetupUnreg
default=allow
Cette section définie la paire userid/password utilisé par le module SimplePasswordAuth
. Tous les mots de passe sont cryptés avec le programme addpasswd
.
Usage:
addpasswd config section userid password
Options:
KeyFilled=123
0
Valeur par défault à utiliser comme octets de remplissage pendant l'encryption/décryption du mot de passe.
CheckID=1
0
Vérifie si les alias correspondent aux ID dans les marques.
PasswordTimeout=120
-1
Le module SimplePasswordAuth
et tous ses descandants mettent en cache un mot de passe authentifié. Ce champ définie le durée de vie du cache en seconde.
0
signifie qu'aucun cache ne sera utilisé, alors qu'une valeur négative indique que le cache n'expirera jamais.
Authentifie les terminaux compatibles H.235 à partir de mots de passe enregistrés dans une base de données SQL. Cette section définie les gestionnaires SQL à utiliser, les paramètres de connexion à la base de données SQL et la requête pour récupérer les mots de passe.
Driver=MySQL | PostgreSQL
Gestionnaire de base de données SQL à utiliser. Actuellement seul MySQL
et PostgreSQL
sont implémentés.
Host=DNS[:PORT] | IP[:PORT]
localhost
Adresse de l'hôte hébergeant la base de données SQL. Peut-être de la forme de DNS[:PORT]
ou IP[:PORT]
.
Par exemple sql.mycompany.com
ou sql.mycompany.com:3306
ou 192.168.3.100
.
Database=billing
billing
Nom de la base de données à laquelle se connecter.
Username=gnugk
Compte utilisé pour se connecter à la base de données.
Password=secret
Mot de passe utilisé pour se connecter à la base de données.
Si le mot de passe n'est pas indiqué, une connexion sans mot de passe sera tenter à la base de données.
Si EncryptAllPasswords
est actif, ou si la variable KeyFilled
est définie dans cette section, le mot de passe sera sous une forme encrypté et doit être créé avec l'utilitaire addpasswd
.
CacheTimeout=120
0
Ce champ définie combien de temps la paire (alias:mot de passe) récupérée de la base de données sera conservée en cache en local. L'unité de base est la seconde. 0
signifie que le cache n'est pas actif, une valeur négative désactive l'expiration du cache (seule la commande reload
forcera le rafraîchissement du cache).
MinPoolSize=5
1
Définie le nombre de connexions SQL actives simultannées. Cela permet des performances accrues lors de charges élevées, car plusieurs requêtes concurrentes peuvent alors être exécutées en même temps. Si MinPoolSize=1
le précédent comportement est recréé, les requêtes à la base de données sont sérialisées.
Query=SELECT ...
N/A
Définie la requête SQL utilisée pour récupérer le mot de passe H.235 de la base de données. La requête est personnalisable - avant chaque requête les nouvelles valeurs sont substituées aux paramètres de remplacement.
Parameter placeholders are denoted by %1, %2, ... strings.
Specify %% to embed a percent character before a digit into string (like %%1),
specify %{1} to allow expansion inside complex expressions like %{1}123.
For SQLPasswordAuth
two parameters are defined:
%1
- l'alias pour lequel on demande le mot de passe%2
- l'identification de la gatekeeperExemples:
SELECT h235password FROM users WHERE alias = '%1' AND active
SELECT h235password FROM users WHERE alias = '%1' AND gk = '%2'
Spécifie l'action lors de la réception d'un message RRQ (confirmation ou rejet) pour le module AliasAuth
.
Le premier alias (le plus souvent un H323ID) du terminal à enregistrer est recherché dans la section. Si un paramètre est trouvé la valeur sera appliquée comme une règle. Une règle est constituée de condititions séparées par des '&'.
Un enregistrement est accepté si toutes les conditions sont vérifiées.
<authrules> := empty | <authrule> "&" <authrules>
<authrule> := <authtype> ":" <authparams>
<authtype> := "sigaddr" | "sigip"
<autparams> := [!&]*
La notation et la signification des <authparams>
dépendent de <authtype>
:
sigaddr
- expresson régulière étendue qui s'applique à ``PrintOn(ostream)'', la représentation de l'adresse du signal de la requête.
Exemple:
sigaddr:.*ipAddress .* ip = .* c0 a8 e2 a5 .*port = 1720.*
sigip
- forme spécialisée de `sigaddr
'.
Ecrire l'adresse IP de la signalisation en notation décimal:
``byteA.byteB.byteC.byteD:port
''.
Exemple:
sigip:192.168.242.165:1720
allow
- toujours accepter l'alias.
deny
- toujours rejeter l'alias.
Authentifie les terminaux par des règles stockées dans base de données SQL (les règles doivent être conformes au format de la section [RasSrv::RRQAuth]). Cette section définie le gestionnaire SQL à utiliser, les paramètres de la connexion à la base de données and la requête à utiliser.
Driver=MySQL | PostgreSQL
Gestionnaire de base de données à utiliser, les versions pour MySQL
et PostgreSQL
sont implémentées.
Host=DNS[:PORT] | IP[:PORT]
localhost
Adresse de l'hôte hébergeant le serveur SQL. Peut être de la forme DNS[:PORT]
ou IP[:PORT]
.
Par exemple sql.mycompany.com
ou sql.mycompany.com:3306
ou 192.168.3.100
.
Database=billing
billing
Nom de la base de données à laquelle se connecter.
Username=gnugk
Compte utilisé pour se connecter à la base de données.
Password=secret
Mot de passe utilisé pour se connecter à la base de données.
Si aucun mot de passe n'est spécifié, une connexion sans mot de passe sera effectuée.
Si EncryptAllPasswords
est selectionné, ou la variable KeyFilled
est définie dans cette section, le mot de passe sera sous une forme encryptée et peut être généré par l'utilitaire addpasswd
.
CacheTimeout=120
0
Ce champ définie combien de temps le couple (alias;authrule) récupéré depuis la base de données sera conservé dans le cache local.
La valeur à pour unité la seconde. 0
signifie qu'aucune règle ne sera mise en cache, et une valeur négative indique que le cache n'expire jamais (seule la commande reload
forcera le rafraîchissement du cache).
MinPoolSize=5
1
Définit le nombre de connexions simultanéés à la base de données SQL. Cela permet une performance accrue sous charge élevée (pusieurs requêtes sont alors exécutées en parallèle). Si MinPoolSize=1
simule le conportement des versions précédentes (les requêtes sont lancées en série, une requête à la fois).
Query=SELECT ...
N/A
Définie la requête SQL utilisées pour récupérer la règle d'alias de la base de données. La requête est personnalisable - ce qui signifie que le remplacement des paramètres est fait à chaque nouvelle requête.
Parameter placeholders are denoted by %1, %2, ... strings.
Specify %% to embed a percent character before a digit into string (like %%1),
specify %{1} to allow expansion inside complex expressions like %{1}123.
For SQLAliasAuth
two parameters are defined:
%1
- l'alias pour lequel on recherche la règle.%2
- l'identification de la gatekeeper.Exemple:
SELECT authrule FROM users WHERE alias = '%1' AND active
SELECT 'sigip:' || host(ip) || port FROM users WHERE alias = '%1'
Cette section définie les règles d'authentification pour le module PrefixAuth
. Actuellement, seuls les messages ARQs et LRQs peuvent être authentifiés par ce module.
On débute par le préfix le plus spécifique du champ destinationInfo de la reqête reçue. Ensuite la requête est eccepté ou non suivant les règles dans l'ordre spécifique décroissant. Si aucune correspondance de préfix n'est trouvée, et que l'option par default
est spécifié, cette dernière accepte ou non la reqête. Autrement la requête continue sont parcourt dans les modules d'authification suivant les conditions du module.
prefix=authrule[|authrule|...]
<authrule> := <result> <authrule>
<result> := deny | allow
<authrule> := [!]ipv4:<iprule> | [!]alias:<aliasrule>
<iprule>
peut être noté en notation décimal ou CIDR, <aliasrule>
est une expression régulière. Si `!
' précède la règle, le sens est inversé.
555=deny ipv4:10.0.0.0/27|allow ipv4:0/0
5555=allow ipv4:192.168.1.1|deny ipv4:192.168.1.0/255.255.255.0
86=deny !ipv4:172.16.0.0/24
09=deny alias:^188884.*
ALL=allow ipv4:ALL
Dans cette configuration, tous les terminaux sauf ceux du réseau 10.0.0.0/27
sont autorisés à appeler le préfix 555 (execpté le 5555).
Les terminaux du réseau 192.168.1.0/24
sont autorisés à appeler le préfix 5555, sauf 192.168.1.1
.
Les terminaux ne provenant pas de 172.16.0.0/24
ne sont pas autorisés à appeler le préfix 86.
Les terminaux ayant un alias commençant par 188884 ne sont pas autorisés à appeler le préfix 09. Toutes les autres situations sont autorisées.
Cette section définie les options qui permettent d'activer l'authentification RADIUS basé sur le H.235 CATs (Cisco Access Tokens) présent dans les requêtes RAS RRQ et ARQ et les messages Setup Q931.
Servers=SERVER1[:AUTH_PORT[:ACCT_PORT[:SECRET]]];SERVER2[:AUTH_PORT[:ACCT_PORT[:SECRET]]];...
N/A
Définie les serveurs RADIUS utilisés pour l'authentification. Cette liste peut contenir un nombre arbitraire de serveurs. L'ordre des serveurs sera respecté par le module RADIUS lors du processus d'interrogation. Si aucun port UDP n'est indiqué, DefaultAuthPort
sera utilisé. De même avec le secret et SharedSecret
.
Adresses IP ou nom DNS peuvent être utilisés comme nom pour les serveurs RADIUS.
Servers
:Servers=192.168.1.1
Servers=192.168.1.1:1645
Servers=192.168.1.1:1645:1646:secret1
Servers=radius1.mycompany.com:1812
Servers=radius1.mycompany.com;radius2.mycompany.com
Servers=radius1.mycompany.com:1812:1813:secret1;radius2.mycompany.com:1812:1813:secret2
LocalInterface=IP_OR_FQDN
N/A
Interface réseau que le client RADIUS doit utiliser pour communiquer avec les serveurs RADIUS. Ce paramètre peut être utile sur les machines "NATées". By défaut cette valeur est vide et c'est la table de routage de l'OS qui choisit l'adresse IP source. Si vous n'êtes pas certain de ce que vous faîtes, il est préférable de laisser cette option vide.
RadiusPortRange=10000-11000
N/A
Par défaut (si cette option n'est pas définie), le client RADIUS alloue des ports dynamiquement comme indiqué par l'OS. Si vous désirez que le client RADIUS utilise des ports d'une plage particulière seulement - configurer ce paramètre.
DefaultAuthPort=PORT_NO
1812
Ports UDP à utiliser pour les requêtes d'authentification RADIUS (paquets Access-Request), l'attribut Servers
est prioritaire.
SharedSecret=SECRET
N/A (chaîne vide)
Secret utilisé pour authentifier ce GnuGK (client NAS) auprès d'un serveur RADIUS. Cela peut être un mot de passe à fort encryption. C'est la valeur par défaut, si aucun secret spécifique n'est indiqué dans la partie Servers
. Si EncryptAllPasswords
est selectionné, or la variable KeyFilled
est définie dans cette section, alors le mot de passe est sous une forme cryptée et peut être crée à partir de l'utilitaire addpasswd
.
RequestTimeout=TIMEOUT_MS
2000
(milisecondes)
Délai (en millisecondes) que la réponse du serveur RADIUS à une requête envoyée par GnuGK ne peut dépasser. Si il n'y a pas de réponse dans cette période, une nouvelle requête est envoyé au serveur RADIUS suivant.
IdCacheTimeout=TIMEOUT_MS
9000
(milisecondes)
Timeout (miliseconds) for RADIUS request 8-bit identifiers to be unique. If all 8-bit identifier range is exhausted within this period, new client socket (UDP socket) is allocation by RADIUS module. Let's take the example: we have approximatelly 60 RRQs/sec - after ca. 4 seconds 8-bit identifiers range gets exhausted - new socket allocated - after next 4 seconds the second 8-bit identifiers range gets exhauted - third socket allocated - after 9th second identifiers from the pool 1 are available again - ... . In general, too long timeout - too much resources consumed, too short timeout - RADIUS server may take incoming packets as duplicated and therefore drop it.
SocketDeleteTimeout=TIMEOUT_MS
60000
(milisecondes) - 60 s
Délai au bout duquel les sockets RADIUS inutilisées sont fermées. Utilisé en conjonction de IdCacheTimeout
- les sockets supplémentaires créées pendant les périodes où GnuGK est fortement chargé afin de répondre aux requêtes entrantes, sont fermées pendant les périodes d'inactivités.
RequestRetransmissions=NUMBER
2
Combien de fois une même requête RADIUS est envoyée à chaque serveur RADIUS configurés (si aucune réponse n'est reçue). 1 signifie aucune retransmission, 2 - une seule, ... . la méthode exacte de retransmission est définie par l'attribut RoundRobinServers
.
RoundRobinServers=BOOLEAN
1
Méthode de retransmission des requêtes RADIUS.
Si définie à 1, la requête RADIUS est transmise de la façon suivante (jusqu'à ce qu'une réponse soit reçue):
Serveur #1 Essai #1, Serveur #2 Essai #1, ..., Serveur #N Essai #1
...
Serveur #1 Essai #RequêtesRetransmises, ..., Serveur #1 Essai #RequêtesRetransmises
Si définie à 0, la séquence suivante est déroulée:
Serveur #1 Essai #1, ..., Serveur #1 Essai #RequêtesRetransmises
...
Serveur #N Essai #1, ..., Serveur #N Essai #RequêtesRetransmises
AppendCiscoAttributes=BOOLEAN
0
Si définie, les attributs RADIUS spécifiques Cisco (en anglais: VendorSpecificAttribut) sont inclus dans les requêtes RADIUS(h323-conf-id,h323-call-origin,h323-call-type).
IncludeTerminalAliases=BOOLEAN
1
Si définie, l'attribut VSA Cisco 'h323-ivr-out' est envoyé avec la liste d'alias avec laquelle le terminal s'est enregistré(RRQ.m_terminalAlias). Cet attribut est fourni afin de permettre un contrôle fin sur la liste d'alias du terminal sous lesquels il a le droit de s'enregistrer. Le formadt e cet attribut est:
Cisco-AV-Pair = "h323-ivr-out=terminal-alias:" alias [,alias] [;]
Exemple:
Cisco-AV-Pair = "h323-ivr-out=terminal-alias:helpdesk,support,77771;"
UseDialedNumber=BOOLEAN
0
UseDialedNumber=1
: renseigne le nombre Called-Station-Id avec le numéro originellement appelé par l'utilisateur.
UseDialedNumber=0
: le renseigne avec le numéro réécri.
Cette section permet de configurer la partie qui s'occupe d'activer les authentification RADIUS des alias de terminal ou des adresses IP présents dans les requêtes RAS RRQ, ARQ ou Setup Q.931. Ce schéma authentification est utile à la fois pour les terminaux enregistrés auprès de la GateKeeper (ARQ,RRQ) et aussi pour les appels provenant de terminaux non-enregistrés (Setup).
Servers=SERVER1[:AUTH_PORT[:ACCT_PORT[:SECRET]]];SERVER2[:AUTH_PORT[:ACCT_PORT[:SECRET]]];...
N/A
Serveurs RADIUS à utiliser pour les requêtes d'authentifcation RAS.
Cette liste peut contenir un nombre arbitraire de serveurs. L'ordre des serveurs sera suivi par celui des requêtes. Si aucun port UDP n'est spécifié, c'est la valeur DefaultAuthPort
qui est utilisée. Si aucun secret est indiqué, la valeur de SharedSecret
sera utilisée.
Des adresses IP comme des noms DNS peuvent être indiqués pour les serveurs.
Servers=192.168.3.1:1645;192.168.3.2:1812:1813:mysecret;radius.mycompany.com
LocalInterface=IP_OR_FQDN
N/A
Particular local network interface that RADIUS client should use in order to communicate with RADIUS servers. This parameter can be useful on NAT machines to restrict number of network interfaces used for RADIUS communication. By default this value is empty and allows RADIUS requests to be sent on any (best suitable) network interface. If you are not sure what you are doing, it is better to leave this option unset.
RadiusPortRange=10000-11000
N/A
By default (if this option is not set) RADIUS client allocates ports dynamically as specified by the operating system. If you want to restrict RADIUS client to use ports from a particular range only - set this parameter.
DefaultAuthPort=PORT_NO
1812
Default port number to be used for RADIUS authentication requests
(Access-Request packets), if not overriden by Servers
attribute.
SharedSecret=SECRET
N/A (empty string)
Secret used to authenticate this GNU GK (NAS client) to RADIUS
server. It should be a cryptographically strong password. This is the default
value used, if no server-specific secret is set in the Servers
.
If EncryptAllPasswords
is enabled, or a KeyFilled
variable is defined
in this section, the password is in encrypted form and should be created using
the addpasswd
utility.
RequestTimeout=TIMEOUT_MS
2000
(miliseconds)
Timeout (miliseconds) for RADIUS server response to a request sent by GNU GK. If no response is received within this time period, next RADIUS server is queried.
IdCacheTimeout=TIMEOUT_MS
9000
(miliseconds)
Timeout (miliseconds) for RADIUS request 8-bit identifiers to be unique. If all 8-bit identifier range is exhausted within this period, new client socket (UDP socket) is allocation by RADIUS module. Let's take the example: we have approximatelly 60 RRQs/sec - after ca. 4 seconds 8-bit identifiers range gets exhausted - new socket allocated - after next 4 seconds the second 8-bit identifiers range gets exhauted - third socket allocated - after 9th second identifiers from the pool 1 are available again - ... . In general, too long timeout - too much resources consumed, too short timeout - RADIUS server may take incoming packets as duplicated and therefore drop it.
SocketDeleteTimeout=TIMEOUT_MS
60000
(miliseconds) - 60 s
Timeout for unused RADIUS sockets to be closed. It is used
in conjunction with IdCacheTimeout
- additional sockets
created during heavy GK load time periods for serving incoming
requests are closed during idle periods.
RequestRetransmissions=NUMBER
2
How many times a single RADIUS request is transmissed to every
configured RADIUS server (if no response is received). 1 means
no retransmission, 2 - single retransmission, ... . Exact retransmission
method is defined by RoundRobinServers
attribute.
RoundRobinServers=BOOLEAN
1
RADIUS requests retransmission method.
If set to 1, RADIUS request is transmitted in the following way (until response is received):
Server #1 Attempt #1, Server #2 Attempt #1, ..., Server #N Attempt #1
...
Server #1 Attempt #RequestRetransmissions, ..., Server #1 Attempt #RequestRetransmissions
If set to 0, the following sequence is preserved:
Server #1 Attempt #1, ..., Server #1 Attempt #RequestRetransmissions
...
Server #N Attempt #1, ..., Server #N Attempt #RequestRetransmissions
AppendCiscoAttributes=BOOLEAN
1
If set, Cisco Vendor Specific RADIUS attibutes are included in RADIUS requests (h323-conf-id,h323-call-origin,h323-call-type).
IncludeTerminalAliases=BOOLEAN
1
If set, Cisco VSA 'h323-ivr-out' attribute is sent with a list of aliases the endpoint is registering (RRQ.m_terminalAlias). This attribute is provided in order to provide fine control over the list of aliases the endpoint is allowed to register with. Format of this attribute is:
Cisco-AV-Pair = "h323-ivr-out=terminal-alias:" alias [,alias] [;]
Example:
Cisco-AV-Pair = "h323-ivr-out=terminal-alias:helpdesk,support,77771;"
FixedUsername
N/A
If this parameter is set, it overwrites a value of User-Name RADIUS attribute
for outgoing RADIUS request. That means every Access-Request will be
authenticated as for user FixedUsername
.
FixedPassword
N/A
If not set, User-Password is a copy of User-Name. For example, if User-Name
is 'john' then User-Password will also be set to 'john'. Setting this
parameter overrides this behavious and User-Password attribute will be
always set to the value of FixedPassword
.
If EncryptAllPasswords
is enabled, or a KeyFilled
variable is defined
in this section, the password is in encrypted form and should be created using
the addpasswd
utility.
(Neither FixedUsername nor FixedPassword set)
All endpoints will be authenticated using their alias as the username
and the password. That means, for example, endpoint 'EP1' will be authenticated
with the username 'EP1 and the password 'EP1'.
(FixedUsername not set)
FixedPassword=ppp
All endpoints will be authenticated using their alias and the password 'ppp'.
FixedUsername=ppp
FixedPassword=ppp
All endpoints will be authenticated using the username 'ppp'
and the password 'ppp'.
UseDialedNumber=BOOLEAN
0
Select Called-Station-Id number type between the original one (as dialed
by the user) - UseDialedNumber=1
- and the rewritten one - UseDialedNumber=0
.