Кожен раз, коли користувач здійснює спробу увійти в корпоративну мережу, мають місце такі події:

1. Користувач за допомогою відповідного клієнтського програмного забезпечення намагається встановити dialup з’єднання з пристроєм NAS з середовища Windows.

2. NAS отримує ідентифікатор і пароль віддаленого користувача і передає RADIUS–запит до VRM. Пароль при цьому може бути статичним, Digipass OTP, або обидва одночасно.

3. VRM може діяти наступним чином:

3.1. Випадок, коли запит на вхід до системи відхиляє VRM и це рішення надсилається назад до NAS:

3.1.1. Динамічна реєстрація користувачів (Dynamic User Registration (DUR)) не була дозволена, або не встановлений RADIUS proxy і користувач відсутній у базі даних VRM.

3.1.2. DUR не була дозволена, або не встановлений RADIUS proxy і користувач, хоча і прописаний у базі, не може пройти перевірку пароля VRM і/або перевірку OTP.

3.2. Запит на вхід в систему передається серверу RADIUS стороннього виробника за таких умов:

3.2.1. DUR дозволена і RADIUS proxy встановлений, але користувач відсутній в базі даних VRM. Це спроба зареєструвати користувача у базі даних VRM в динамічному режимі.

3.2.2. DUR дозволена і RADIUS proxy встановлений і користувач прописаний у базі даних VRM, але статичний пароль неправильний. Це спроба автозапам’ятовування пароля.

3.2.3. Дозволений режим PASSTHRU і RADIUS proxy встановлений. У такому режимі VRM не використовується для автентифікації.

4. VRM виконує наступні операції:

4.1 Якщо proxу запит на вхід до системи прийнятий сервером RADIUS стороннього виробника:

4.1.1. Користувач прописується у базі даних VRM, якщо виконується умова 3.2.1.

4.1.2. Статичний пароль користувача оновлюється, якщо виконується умова 3.2.2.

4.1.3. У решті випадків прийнятий запит на вхід до системи передається назад в NAS.

4.2 Якщо proxy запит на вхід до системи відхиляється сервером RADIUS стороннього виробника, тоді:

4.2.1. Відхилений запит пересилається назад до NAS і VRM більш ніякої обробки не здійснює.

5. NAS виконує такі операції:

5.1. Якщо запит на вхід до системи прийнятий, NAS використовує повернені атрибути авторизації RADIUS як директиву встановити dialup з’єднання.

5.1.1. Якщо запит на вхід до системи відхилений, то NAS відхиляє запит на з’єднання.

6. В залежності від результату здійснених операцій з’єднання з віддаленим користувачем встановлюється, або відхиляється.

Спеціальні можливості

Режими автентифікації з використанням лише запиту і запиту з підтвердженням.
VRM побудоване таким чином, щоб підтримувати все сімейство токенів Digipass на серверах RADIUS. Це означає, що увесь спектр параметрів безпеки, який підтримується токенами Digipass, доступний для роботи в захищеному RADIUS-середовищі при реалізації віддаленого доступу. Адміністратори мають можливість вибирати режими автентифікації - запит з використанням тільки прив’язки до часу, чи запит і підтвердження).

Динамічна реєстрація користувачів (Dynamic User Registration (DUR))
Функція DUR може автоматично добавляти користувачів до бази даних VRM після того, як вони пройдуть автентифікацію на сервері RADIUS. Для роботи DUR необхідно, щоб на RADIUS сервері користувачі були уже прописані).

Автозапам’ятовування паролів (AutoLearn Passwords).
Ця функція дозволяє автоматично запам’ятовувати у базі даних VRM паролі, призначені новим користувачам на внутрішньому сервері RADIUS. Після здійснення успішної автентифікації Digipass в VRM, “автоматично отриманий пароль” користувача відтворюється для внутрішнього сервера RADIUS. Для роботи цієї функції необхідно, щоб був встановлений RADIUS сервер і на ньому були прописані існуючі користувачі.

Автопризначення токенів (Token Auto Assign).
За необхідності, VRM може бути налагоджений для автоматичного призначення “вільних” токенів Digipass новому користувачеві – незалежно від того був користувач заведений через Admin GUI,Admin Command Line Utility, чи через функцію DUR. Коли токен Digipass призначається користувачу, VRM автоматично робить запис, в якій містяться усі параметри облікового запису (Serial Number, User-Id, User-Name, etc.) в log файл, а також може надсилати відповідне повідомлення електронною поштою.

Функція передачі паролів Passthru
VRM підтримує одночасну автентифікацію з використанням паролів Digipass і статичних паролів. Функція Passthru дозволяє здійснювати автентифікацію користувачів внутрішнім RADIUS-сервером без втручання VRM. Цю функцію можна застосувати глобально до всіх користувачів, або лише для окремих користувачів. Для роботи функції необхідно, щоб був налагоджений RADIUS сервер і на ньому були прописані користувачі)

Період відстрочки (Digipass Graceperiod)
Graceperiod дозволяє адміністратору призначати токени Digipass користувачам і задавати період відстрочки початку дії правил автентифікації Digipass на декілька днів, що дає можливість продовжити використання існуючих статичних паролів до кінця відстрочки, чи до моменту першої успішної автентифікації з використанням токену.

Database Replication.
Вбудована функція резервування дозволяє в реальному часі здійснювати резервування бази даних VRM на один чи декілька резервних серверів VRM.

Конфігурування VRM

При використанні усіх служб AAA, VRM забезпечує надійну автентифікацію, функціонуючи як канал для авторизації і служб облікових записів, які забезпечуються встановленим сервером RADIUS. VRM може бути застосоване і в тих випадках, коли для автентифікації використовується тільки RADIUS, наприклад, у парі з міжмережевим екраном. Додатково, VRM може оброблювати запити RADIUS на автентифікацію, які передаються через RADIUS proxy від інших серверів RADIUS. В наступному розділі розглянемо різні конфігурації, в яких можливе використання VRM.

Повна підтримка RADIUS (AAA) з використанням одного комп’ютера для VRM і RADIUS

Застосування

В такій конфігурації VRM встановлюють на тому ж комп’ютері, на якому встановлений сервер RADIUS. На логічному рівні він розташований між пристроєм NAS і сервером RADIUS. VRM конфігурується для прийому RADIUS-запитів на автентифікацію і запитів по обліковим записам через порт, по якому сервер RADIUS приймав ці запити до встановлення VRM, а сервер RADIUS необхідно переконфігурувати для прийому запитів через інший порт. Така конфігурація не вимагає внесення змін в конфігурацію пристроїв NAS, що бажано при наявності великої кількості таких пристроїв.В такій конфігурації управління користувачами можна здійснювати тільки на сервері RADIUS. VRM може виконувати динамічну реєстрацію користувачів, прописаних на сервері RADIUS, може автоматично запам’ятовувати їх паролі і автоматично призначати токени Digipass. Коли запит на автентифікацію приймається від NAS, VRM автентифікує за паролями Digipass (OTP). Якщо автентифікація успішна, запит модифікується шляхом заміни одноразового пароля Digipass на статичний пароль користувача, який автоматично запам’ятав під час динамічної реєстрації. Після цього запит через proxy передається серверу RADIUS. VRM отримує результат обробки цього запита і надсилає його до NAS. У типовому випадку, при успішній автентифікації, результат буде містити атрибути авторизації RADIUS. Якщо обліковий запис дозволений в NAS, то NAS після успішної автентифікації посилає відповідний обліковий запис. VRM не обробляє ці облікові записи, а передає їх через proxy на сервер RADIUS, а результат роботи сервера повертає назад в NAS.