REALMы

REALMы - это зоны, в которых может работать ваш клиент, используя один и тот же логин. Фактически, REALM - это суффикс, добавляемый пользователем после своего логина, например login@local - пользователь хочет попасть во внутреннюю сеть, login@www - во внешнюю.

RADIUS-сервер в зависимости от REALMа, указанного клиентом, выдаёт ему определённый набор RADIUS-атрибутов, например, Framed-IP-Address - IP-адрес, который нужно выдать клиенту. Все REALMы должны быть определены в конфигурации модуля DialUp следующим образом:

realm.local=Framed-IP-Address=192.168.168.2;<другие атрибуты>
realm.www=Framed-IP-Address=172.33.3.3;Service-Type=1

REALMы объединяются в группы следующим образом:

realmgr.dialup_user=local;www
realmgr.vpn_user=local

Теперь логины, имеющие группу REALMов dialup_user (группа REALMов устанавливается в свойствах логина), могут попасть как во внешнюю сеть, так и во внутреннюю, а логины с группой vpn_user - только во внутреннюю.

Если пользователь после своего логина не указал REALM, считается, что он хочет попасть в зону default. Также, если в свойствах логина не указана группа REALMов, значит он входит в группу default.

Таким образом, даже если вы не используете REALMы, у вас в конфигурации DialUp должна присутствовать строка.

realmgr.default=default

Это позволит логинам с не указанной группой REALMов использовать REALM default, т.е. входить без указания суффикса после логина. Если же этой строки не будет, то пользователь не сможет авторизоваться, т.к. для группы default не разрешено использование никаких REALMов.

REALMы удобно использовать для разделения услуг доступа к различным сетям, для задания перечня стандартных атрибутов RADIUS, которые нужно высылать всем пользователям, например:

realm.default=Framed-Pool=pool1;Acct-Interim-Interval=120

Атрибуты, передаваемые при логине с определённым REALMом, можно переопределить в конфигурации NASа.