config user radius
Configure RADIUS server entries.
config user radius Description: Configure RADIUS server entries. edit <name> set server {string} set secret {password} set secondary-server {string} set secondary-secret {password} set tertiary-server {string} set tertiary-secret {password} set timeout {integer} set status-ttl {integer} set all-usergroup [disable|enable] set use-management-vdom [enable|disable] set nas-ip {ipv4-address} set nas-id-type [legacy|custom|...] set call-station-id-type [legacy|IP|...] set nas-id {string} set acct-interim-interval {integer} set radius-coa [enable|disable] set radius-port {integer} set h3c-compatibility [enable|disable] set auth-type [auto|ms_chap_v2|...] set source-ip {string} set username-case-sensitive [enable|disable] set group-override-attr-type [filter-Id|class] set class <name1>, <name2>, ... set password-renewal [enable|disable] set require-message-authenticator [enable|disable] set password-encoding [auto|ISO-8859-1] set mac-username-delimiter [hyphen|single-hyphen|...] set mac-password-delimiter [hyphen|single-hyphen|...] set mac-case [uppercase|lowercase] set acct-all-servers [enable|disable] set switch-controller-acct-fast-framedip-detect {integer} set interface-select-method [auto|specify] set interface {string} set switch-controller-service-type {option1}, {option2}, ... set transport-protocol [udp|tcp|...] set tls-min-proto-version [default|SSLv3|...] set ca-cert {string} set client-cert {string} set server-identity-check [enable|disable] set account-key-processing [same|strip] set account-key-cert-field [othername|rfc822name|...] set rsso [enable|disable] set rsso-radius-server-port {integer} set rsso-radius-response [enable|disable] set rsso-validate-request-secret [enable|disable] set rsso-secret {password} set rsso-endpoint-attribute [User-Name|NAS-IP-Address|...] set rsso-endpoint-block-attribute [User-Name|NAS-IP-Address|...] set sso-attribute [User-Name|NAS-IP-Address|...] set sso-attribute-key {string} set sso-attribute-value-override [enable|disable] set rsso-context-timeout {integer} set rsso-log-period {integer} set rsso-log-flags {option1}, {option2}, ... set rsso-flush-ip-session [enable|disable] set rsso-ep-one-ip-only [enable|disable] set delimiter [plus|comma] config accounting-server Description: Additional accounting servers. edit <id> set status [enable|disable] set server {string} set secret {password} set port {integer} set source-ip {string} set interface-select-method [auto|specify] set interface {string} next end next end
config user radius
Parameter |
Description |
Type |
Size |
Default |
||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
name |
RADIUS server entry name. |
string |
Maximum length: 35 |
|
||||||||||||||||||||||||||||||||||||||||||||||
server |
Primary RADIUS server CN domain name or IP address. |
string |
Maximum length: 63 |
|
||||||||||||||||||||||||||||||||||||||||||||||
secret |
Pre-shared secret key used to access the primary RADIUS server. |
password |
Not Specified |
|
||||||||||||||||||||||||||||||||||||||||||||||
secondary-server |
Secondary RADIUS CN domain name or IP address. |
string |
Maximum length: 63 |
|
||||||||||||||||||||||||||||||||||||||||||||||
secondary-secret |
Secret key to access the secondary server. |
password |
Not Specified |
|
||||||||||||||||||||||||||||||||||||||||||||||
tertiary-server |
Tertiary RADIUS CN domain name or IP address. |
string |
Maximum length: 63 |
|
||||||||||||||||||||||||||||||||||||||||||||||
tertiary-secret |
Secret key to access the tertiary server. |
password |
Not Specified |
|
||||||||||||||||||||||||||||||||||||||||||||||
timeout |
Time in seconds to retry connecting server. |
integer |
Minimum value: 1 Maximum value: 300 |
5 |
||||||||||||||||||||||||||||||||||||||||||||||
status-ttl |
Time for which server reachability is cached so that when a server is unreachable, it will not be retried for at least this period of time. |
integer |
Minimum value: 0 Maximum value: 600 |
300 |
||||||||||||||||||||||||||||||||||||||||||||||
all-usergroup |
Enable/disable automatically including this RADIUS server in all user groups. |
option |
- |
disable |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
use-management-vdom |
Enable/disable using management VDOM to send requests. |
option |
- |
disable |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
nas-ip |
IP address used to communicate with the RADIUS server and used as NAS-IP-Address and Called-Station-ID attributes. |
ipv4-address |
Not Specified |
0.0.0.0 |
||||||||||||||||||||||||||||||||||||||||||||||
nas-id-type |
NAS identifier type configuration. |
option |
- |
legacy |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
call-station-id-type |
Calling & Called station identifier type configuration , this option is not available for 802.1x authentication. |
option |
- |
legacy |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
nas-id |
Custom NAS identifier. |
string |
Maximum length: 255 |
|
||||||||||||||||||||||||||||||||||||||||||||||
acct-interim-interval |
Time in seconds between each accounting interim update message. |
integer |
Minimum value: 60 Maximum value: 86400 |
0 |
||||||||||||||||||||||||||||||||||||||||||||||
radius-coa |
Enable to allow a mechanism to change the attributes of an authentication, authorization, and accounting session after it is authenticated. |
option |
- |
disable |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
radius-port |
RADIUS service port number. |
integer |
Minimum value: 0 Maximum value: 65535 |
0 |
||||||||||||||||||||||||||||||||||||||||||||||
h3c-compatibility |
Enable/disable compatibility with the H3C, a mechanism that performs security checking for authentication. |
option |
- |
disable |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
auth-type |
Authentication methods/protocols permitted for this RADIUS server. |
option |
- |
auto |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
source-ip |
Source IP address for communications to the RADIUS server. |
string |
Maximum length: 63 |
|
||||||||||||||||||||||||||||||||||||||||||||||
username-case-sensitive |
Enable/disable case sensitive user names. |
option |
- |
disable |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
group-override-attr-type |
RADIUS attribute type to override user group information. |
option |
- |
|
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
class |
Class attribute name(s). Class name. |
string |
Maximum length: 79 |
|
||||||||||||||||||||||||||||||||||||||||||||||
password-renewal |
Enable/disable password renewal. |
option |
- |
enable |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
require-message-authenticator |
Require message authenticator in authentication response. |
option |
- |
enable |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
password-encoding |
Password encoding. |
option |
- |
auto |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
mac-username-delimiter |
MAC authentication username delimiter. |
option |
- |
hyphen |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
mac-password-delimiter |
MAC authentication password delimiter. |
option |
- |
hyphen |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
mac-case |
MAC authentication case. |
option |
- |
lowercase |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
acct-all-servers |
Enable/disable sending of accounting messages to all configured servers. |
option |
- |
disable |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
switch-controller-acct-fast-framedip-detect |
Switch controller accounting message Framed-IP detection from DHCP snooping. |
integer |
Minimum value: 2 Maximum value: 600 |
2 |
||||||||||||||||||||||||||||||||||||||||||||||
interface-select-method |
Specify how to select outgoing interface to reach server. |
option |
- |
auto |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
interface |
Specify outgoing interface to reach server. |
string |
Maximum length: 15 |
|
||||||||||||||||||||||||||||||||||||||||||||||
switch-controller-service-type |
RADIUS service type. |
option |
- |
|
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
transport-protocol |
Transport protocol to be used. |
option |
- |
udp |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
tls-min-proto-version |
Minimum supported protocol version for TLS connections. |
option |
- |
default |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
ca-cert |
CA of server to trust under TLS. |
string |
Maximum length: 79 |
|
||||||||||||||||||||||||||||||||||||||||||||||
client-cert |
Client certificate to use under TLS. |
string |
Maximum length: 35 |
|
||||||||||||||||||||||||||||||||||||||||||||||
server-identity-check |
Enable/disable RADIUS server identity check (verify server domain name/IP address against the server certificate). |
option |
- |
enable |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
account-key-processing |
Account key processing operation. The FortiGate will keep either the whole domain or strip the domain from the subject identity. |
option |
- |
same |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
account-key-cert-field |
Define subject identity field in certificate for user access right checking. |
option |
- |
othername |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
rsso |
Enable/disable RADIUS based single sign on feature. |
option |
- |
disable |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
rsso-radius-server-port |
UDP port to listen on for RADIUS Start and Stop records. |
integer |
Minimum value: 0 Maximum value: 65535 |
1813 |
||||||||||||||||||||||||||||||||||||||||||||||
rsso-radius-response |
Enable/disable sending RADIUS response packets after receiving Start and Stop records. |
option |
- |
disable |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
rsso-validate-request-secret |
Enable/disable validating the RADIUS request shared secret in the Start or End record. |
option |
- |
disable |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
rsso-secret |
RADIUS secret used by the RADIUS accounting server. |
password |
Not Specified |
|
||||||||||||||||||||||||||||||||||||||||||||||
rsso-endpoint-attribute |
RADIUS attributes used to extract the user end point identifier from the RADIUS Start record. |
option |
- |
Calling-Station-Id |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
rsso-endpoint-block-attribute |
RADIUS attributes used to block a user. |
option |
- |
|
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
sso-attribute |
RADIUS attribute that contains the profile group name to be extracted from the RADIUS Start record. |
option |
- |
Class |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
sso-attribute-key |
Key prefix for SSO group value in the SSO attribute. |
string |
Maximum length: 35 |
|
||||||||||||||||||||||||||||||||||||||||||||||
sso-attribute-value-override |
Enable/disable override old attribute value with new value for the same endpoint. |
option |
- |
enable |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
rsso-context-timeout |
Time in seconds before the logged out user is removed from the "user context list" of logged on users. |
integer |
Minimum value: 0 Maximum value: 4294967295 |
28800 |
||||||||||||||||||||||||||||||||||||||||||||||
rsso-log-period |
Time interval in seconds that group event log messages will be generated for dynamic profile events. |
integer |
Minimum value: 0 Maximum value: 4294967295 |
0 |
||||||||||||||||||||||||||||||||||||||||||||||
rsso-log-flags |
Events to log. |
option |
- |
protocol-error profile-missing accounting-stop-missed accounting-event endpoint-block radiusd-other |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
rsso-flush-ip-session |
Enable/disable flushing user IP sessions on RADIUS accounting Stop messages. |
option |
- |
disable |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
rsso-ep-one-ip-only |
Enable/disable the replacement of old IP addresses with new ones for the same endpoint on RADIUS accounting Start messages. |
option |
- |
disable |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
delimiter |
Configure delimiter to be used for separating profile group names in the SSO attribute. |
option |
- |
plus |
||||||||||||||||||||||||||||||||||||||||||||||
|
|
config accounting-server
Parameter |
Description |
Type |
Size |
Default |
||||||
---|---|---|---|---|---|---|---|---|---|---|
id |
ID. |
integer |
Minimum value: 0 Maximum value: 4294967295 |
0 |
||||||
status |
Status. |
option |
- |
disable |
||||||
|
|
|||||||||
server |
Server CN domain name or IP address. |
string |
Maximum length: 63 |
|
||||||
secret |
Secret key. |
password |
Not Specified |
|
||||||
port |
RADIUS accounting port number. |
integer |
Minimum value: 0 Maximum value: 65535 |
0 |
||||||
source-ip |
Source IP address for communications to the RADIUS server. |
string |
Maximum length: 63 |
|
||||||
interface-select-method |
Specify how to select outgoing interface to reach server. |
option |
- |
auto |
||||||
|
|
|||||||||
interface |
Specify outgoing interface to reach server. |
string |
Maximum length: 15 |
|