RADIUS和IEC 62351

Question

IEC 62351-8规定，基于角色的访问控制用于根据用户的角色减少和限制用户对系统的访问。

其概念是执行用户需要对自己进行身份验证(用户名/密码)的操作，并拥有具有正确访问权限的角色。

我们如何在Radius/Freeradius中实现这一点？

据我所知，Radius可以根据用户/密码进行身份验证，但默认情况下不会提供用户请求权限的角色/组的指示。

例如，如果我有一个同时具有操作员和安全管理员角色的用户，他们将如何申请安全管理员角色？

我假设这与属性有关，但没有明显的属性可以做到这一点

Answer 1

对于同样的问题，这是我将使用的解决方案：

Radius定义了一个特定于供应商的属性，其中可以存储有关角色等的信息。

我在这里找到了一个示例：https://www.researchgate.net/publication/317167505_Handling_Role-based_Access_Control_in_the_Digital_Grid，它建议构建供应商特定的类型，如下所示：

开始-供应商IEC

• ATTRIBUTE RoleID 1 integer
• ATTRIBUTE roleDefinition 2 string
• ATTRIBUTE AoR 3 string
• ATTRIBUTE revision 4 integer
• ATTRIBUTE ValidFrom 5 string
• ATTRIBUTE ValidTo 6 string

最终供应商IEC

在数字网格中处理基于角色的访问控制(可下载PDF)。可从：https://www.researchgate.net/publication/317167505_Handling_Role-based_Access_Control_in_the_Digital_Grid访问2018年1月9日。

这里是一个可能发送两个不同令牌(id 0和1)的FreeRadius的字典文件的示例，其中tokeId是根据属性类型计算得出的：

国际供应商-电工技术-佣金41912

BEGIN-VENDOR International-电工-委托

属性IEC62351-8-RoleID-0 1整数

属性IEC62351-8-roleDefinition-0 2字符串

属性IEC62351-8-aor-0 3字符串

属性IEC62351-8-修订版-0 4整数

属性IEC62351-8-ValidFrom-0 5字符串

属性IEC62351-8-ValidTo-0 6字符串

属性IEC62351-8-RoleID-1 11整数

属性IEC62351-8-roleDefinition-1 12字符串

属性IEC62351-8-aor-1 13字符串

属性IEC62351-8-修订版-1 14整数

属性IEC62351-8-ValidFrom-1 15字符串

属性IEC62351-8-ValidTo-1 16字符串

国际终端供应商-电工技术-佣金