13: Administering RSA RADIUS
311
RSA Authentication Manager 8.1 Administrator’s Guide
Managing User Access
RSA RADIUS administrators manage RADIUS user access through the use of 
attribute-value pairs. During a RADIUS authentication attempt, the RADIUS client 
and server exchange lists of attributes and their values. The server sends a checklist 
and the client replies with a return list.
You can assign an attribute in two ways:
• Add the attribute to a RADIUS profile and assign the profile to a user or agent.
For more information, see A
dd a RADIUS Profile
on page 314 and RADIUS 
Profile Associations
on page 315.
• Assign a user attribute, either a standard user attribute or a custom user attribute, 
to a user directly.
For more information, see RADIUS User Attributes
on page 318.
This section contains the following topics:
• RADIUS Profiles
• A
dd a RADIUS Profile
• RADIUS Profile Associations
• Specify the Default RADIUS Profile
• RADIUS User Attributes
RADIUS Profiles
A RADIUS profile is a named collection of attributes that specify session 
requirements for users authenticating using RADIUS. When you create or update a 
profile, you can add, remove, or modify attributes and their values within checklists 
and return lists. 
Profiles support easy administration of groups of users. An administrator creates a 
profile with a checklist and a return list of attributes suitable for a specific group of 
users, and then assigns the profile to relevant user identities defined within 
Authentication Manager. Available checklist and return list attributes appear in the 
Security Console in the drop-down list on the management pages for creating and 
updating profiles. 
Profiles are synchronized across all RSA RADIUS servers in the deployment. The 
profile names reside on Authentication Manager so that they can be centrally managed 
from the Security Console. RSA RADIUS, when shipped, contains no profiles. You 
create profiles using the Security Console. 
How to convert pdf to ppt for - control software system:C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
www.rasteredge.com
How to convert pdf to ppt for - control software system:VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
www.rasteredge.com
312
13: Administering RSA RADIUS
RSA Authentication Manager 8.1 Administrator’s Guide
RADIUS Attributes
RSA RADIUS provides more flexibility in controlling system behavior during 
authentication through the use of single-value and multiple-value attributes and 
orderable multiple-value attributes.
• Single-Value and Multiple-Value Attributes 
Attributes can be single-value or multiple-value. Single-value attributes appear 
only once in the checklist or return list. Multiple-value attributes may appear 
several times. If an attribute appears more than once in the checklist, this means 
that any one of the values is valid. For example, you can set up a checklist to 
include multiple telephone numbers for the attribute Calling-Station-ID. Because 
all of the telephone numbers are valid, a user trying to dial in to your network can 
call from any of the designated telephone numbers and still authenticate 
successfully.
If an attribute appears more than once in the return list, each value of the attribute 
is sent as part of the response packet. For example, to enable both IP and IPX 
header compression for a user, the Framed-Compression attribute must appear 
twice in the return list: once with the value VJ-TCP-IP-header-compression and 
once with the value IPX-header-compression. 
• Orderable Multiple-Value Attributes 
Certain multiple-value return list attributes are also orderable, which means that 
the attribute can appear more than once in a RADIUS response, and the order in 
which the attributes appear is important. For example, the Reply-Message 
attribute allows text messages to be sent back to the user for display. A multiline 
message is sent by including this attribute multiple times in the return list, with 
each line of the message in its proper sequence. 
RADIUS Checklist
The RADIUS checklist is the set of attributes that must be sent from a RADIUS client 
to a RADIUS server as part of an authentication request. If a required attribute is not 
present, the request is rejected. For example, the checklist attribute, NAS-IP-Address, 
specifies the IP address of a RADIUS client that the user is allowed to use. If this 
attribute is not in the access request, the request is rejected. 
The RADIUS server examines authentication requests from RADIUS clients to 
confirm that attributes and values defined in a profile as checklist attributes are 
contained in the authentication request. 
By default, a RADIUS client sends all available attributes and values with 
authentication requests. If a RADIUS client is configured to not send some attribute 
and that attribute is defined as a checklist attribute, the authentication request fails. 
See the RADIUS client device documentation for procedures on how to configure a 
RADIUS client. 
You can assign an attribute to the checklist by adding the attribute to a RADIUS 
profile and then assigning the profile to a user or agent.
control software system:Online Convert PowerPoint to PDF file. Best free online export
Download Free Trial. Convert a PPTX/PPT File to PDF. Easy converting! We try to make it as easy as possible to convert your PPTX/PPT files to PDF.
www.rasteredge.com
control software system:How to C#: Convert PDF, Excel, PPT to Word
How to C#: Convert PDF, Excel, PPT to Word. Online C# Tutorial for Converting PDF, MS-Excel, MS-PPT to Word. PDF, MS-Excel, MS-PPT to Word Conversion Overview.
www.rasteredge.com
13: Administering RSA RADIUS
313
RSA Authentication Manager 8.1 Administrator’s Guide
RADIUS Return List
The RADIUS return list is the set of attributes that a RADIUS server returns to a 
RADIUS client when a user is authenticated. Return list attributes provide additional 
parameters, such as VLAN assignment or IP address assignment, that the RADIUS 
client needs to connect the user. When authentication succeeds, RADIUS sends return 
list attributes to the RADIUS client along with the Access-Accept message for use in 
setting session parameters for that user. 
You can add an attribute to the return list in two ways:
• Add the attribute to the return list in a profile and assign the profile to a user or 
agent. For more information, see A
dd a RADIUS Profile
on page 314 and 
RADIUS Profile Associations
on page 315. 
• Assign a user attribute, either a standard user attribute or a custom user attribute, 
to a user directly. For more information, see RADIUS User Attributes
on 
page 318. 
Note: 
The purpose and use of specific attributes is described in the documentation for 
particular RADIUS client devices and is outside the scope of this guide. 
Default Profile
RSA RADIUS supports a default profile. When a RADIUS user authenticates and has 
no assigned profile, the user receives the attributes and values that are defined in the 
default profile, if one is specified. 
There is no default RADIUS profile specified during installation. Administrators must 
create the default profile and specify it as the default. Once you have added one or 
more RADIUS profiles to Authentication Manager, you can specify the default profile 
on the System Settings page in the Security Console. However, you can also specify a 
default profile in the securid.ini RADIUS configuration file. The default profile 
specified in Authentication Manager always overrides any default profile specified in 
the securid.ini file. 
Administrators can add, remove, or modify attributes and their values within 
checklists and return lists for the default profile in the same manner as for regular 
profiles. 
For more information on setting a default RADIUS profile, see the Security Console 
Help topic “Configure RADIUS Settings.”
Dictionary Files to Customize Attributes
RSA RADIUS provides standard RADIUS attributes defined in dictionary files 
provided with the server. These standard attributes are sufficient to support most 
major brands of RADIUS client devices. If you purchase a new or specialized 
RADIUS client device, that device may also have its own dictionary file that contains 
client-specific attributes. You can install that dictionary file on each of the RADIUS 
servers so that new or changed RADIUS client attributes are available for inclusion in 
profiles.
In some rare cases, attribute names in RADIUS may differ from attribute names used 
by a particular RADIUS client. The Operations Console allows administrators to 
modify attributes defined in dictionary files. 
control software system:How to C#: Convert Word, Excel and PPT to PDF
How to C#: Convert Word, Excel and PPT to PDF. Online C# Tutorial for Converting MS Office Word, Excel and PowerPoint to PDF. How to C#: Convert PPT to PDF.
www.rasteredge.com
control software system:C# PDF Convert: How to Convert MS PPT to Adobe PDF Document
C# PDF Convert: How to Convert MS PPT to Adobe PDF Document. Provide Free Demo Code for PDF Conversion from Microsoft PowerPoint in C# Program.
www.rasteredge.com
314
13: Administering RSA RADIUS
RSA Authentication Manager 8.1 Administrator’s Guide
Add a RADIUS Profile
A RADIUS profile is a named collection of attributes that specify session 
requirements for a user requesting remote network access. Attributes are contained in 
a checklist or return list. 
You can add a profile to create a collection of checklist and return list attributes that 
you want to assign to users, user aliases, trusted users, or agents.
Procedure
1. In the Security Console, click RADIUS > RADIUS Profiles > Add New.
2. In the Profile Name field, enter a unique name that identifies the purpose for this 
profile, for example, SALES.
After you save the profile, you cannot change its name. If you want to rename the 
profile, you must delete it and then add a new profile with the new name.
3. In the Notes field, enter any notes for this profile, for example, Use this profile for 
all employees in Sales.
4. In Return List Attributes, do one of the following:
• If you want to add an attribute, select each return list attribute, enter its 
corresponding value for this profile, and click Add. For more information 
about the attributes and their values, see the RADIUS client documentation.
• If you want to remove an attribute, select the attribute from the list box, and 
click Remove.
• If you want to update an attribute, select the attribute from the list, enter the 
updated value in the field, and click Update. If you enter a multivalued return 
list attribute (marked with an M) that is orderable (marked with an O), click 
Up or Down to specify the necessary order for the attribute and its value.
• If you do not want to specify a particular value, but want to make sure that the 
attribute value in the RADIUS request is echoed to the client in the RADIUS 
response, select Echo for the attribute.
5. In Checklist Attributes, do one of the following:
• If you want to add an attribute, select each checklist attribute, enter its 
corresponding value for this profile, and click Add. For more information 
about the attributes and their values, see the RADIUS client documentation.
• If you want to remove an attribute, select the attribute from the list box, and 
click Remove.
• If you want to update an attribute, select the attribute from the list, enter the 
updated value in the field, and click Update.
• If a RADIUS client does not send one of these attributes (for example, 
Port-Limit), and you select Default for the attribute (for example, Port-Limit), 
the RADIUS server still processes the authentication request. If a RADIUS 
client does not send one of these attributes, and you do not select Default for 
the attribute, the RADIUS server rejects the authentication request.
control software system:C# TIFF: Learn to Convert MS Word, Excel, and PPT to TIFF Image
PPTXDocument doc = new PPTXDocument(@"demo.pptx"); if (null == doc) throw new Exception("Fail to load PowerPoint Document"); // Convert PPT to Tiff.
www.rasteredge.com
control software system:VB.NET PowerPoint: Process & Manipulate PPT (.pptx) Slide(s)
VB.NET PowerPoint processing control add-on can do PPT creating, loading We are dedicated to provide powerful & profession imaging controls, PDF document, image
www.rasteredge.com
13: Administering RSA RADIUS
315
RSA Authentication Manager 8.1 Administrator’s Guide
6. Click Save.
7. To notify the RADIUS replica servers about this new profile, initiate replication to 
the replica servers. Once configured, replication takes place every 15 minutes. For 
instructions, see Initiate Replication to RADIUS Replica Servers
.
RADIUS Profile Associations
You can associate RADIUS profiles with users and agents in your deployment by 
assigning a profile to them. When you assign a profile to a user or agent, the RADIUS 
server uses the checklist and return list contained in the profile whenever the user or 
agent attempts a RADIUS authentication. Assigning a profile designates the checklist 
and return list contained in the profile as the set of attributes to be used when a 
RADIUS authentication attempt is made.
An administrator can assign or unassign a profile to the following: 
• User. An account managed by the system that is usually a person, but may be a 
computer or a web service.
• User Alias. Allows users to authenticate with their RSA SecurID tokens, but 
using User IDs other than their own. For example, suppose you assign the alias 
“root” to certain administrators. The administrators can log on using the User ID 
“root” and their own tokens.
• Trusted User. A user from a different, trusted RSA Authentication Manager 8.1 
deployment that can authenticate to Authentication Manager through your 
deployment.
• Agent. A software application installed on a RADIUS client or server, which 
enables authentication with Authentication Manager on the network server.
You can specify a default RADIUS profile that Authentication Manager assigns to a 
user's network request, if the user and the agent (that the user sends the network 
request to) do not have an assigned RADIUS profile.
User Assignment
Users are defined within Authentication Manager and their association with the 
correct RSA SecurID token record is maintained there. On the RADIUS pages in the 
Security Console, an administrator can associate a User ID with a profile. This action 
applies the attributes of that profile to that user. 
User Alias Assignment
User aliases allow a user to have multiple roles if necessary. For example, user Alice 
has a user identity Alice_User and a user alias identity Alice_Admin. When Alice logs 
on as Alice_User, all of the attributes associated with users are applied to her because 
her user identity is associated with a profile set up for users. When Alice_Admin logs 
on, attributes more appropriate for administrators are applied to her because her user 
alias identity is associated with a profile set up for administrators, for example, she 
can access IP addresses needed to manage routers and VPN servers.
control software system:VB.NET PowerPoint: Convert & Render PPT into PDF Document
VB.NET PowerPoint - Render PPT to PDF in VB.NET. How to Convert PowerPoint Slide to PDF Using VB.NET Code in .NET. Visual C#. VB.NET. Home > .NET Imaging SDK >
www.rasteredge.com
control software system:VB.NET PowerPoint: Read & Scan Barcode Image from PPT Slide
VB.NET PPT PDF-417 barcode scanning SDK to detect PDF-417 barcode image from PowerPoint slide. VB.NET APIs to detect and decode
www.rasteredge.com
316
13: Administering RSA RADIUS
RSA Authentication Manager 8.1 Administrator’s Guide
Trusted User Assignment
Within a trusted realm, users from another version 8.1 realm may attempt to access 
resources using RSA RADIUS. How RADIUS profiles are associated with these users 
depends on how these remote “trusted users” are defined in the local realm.
Note: 
Using RSA_RADIUS to authenticate trusted users requires that trusted realms 
are running Authentication Manager 7.1 or later. Trust relationships between 
Authentication Manager 8.1 and 6.1 realms do not support authentications using 
RSA RADIUS.
A trusted user identity may be defined in Authentication Manager in advance, with a 
RADIUS profile associated with that trusted user identity. That profile may be set up 
especially for trusted users giving them attributes appropriate for trusted users. When 
that trusted user’s access request succeeds, RADIUS returns the associated profile 
attributes to the RADIUS client device along with any assigned RADIUS user 
attributes.
If the trusted user identity is not set up in advance, the authentication agent on the 
RADIUS server creates a trusted user account dynamically in 
Authentication Manager. In turn, Authentication Manager forwards the authentication 
request to other trusted realms until a success or failure is returned. When the request 
is successful, Authentication Manager adds the trusted user’s home realm to the 
trusted user identity (to speed up future authentication requests) and returns a 
passcode accepted message to RADIUS. 
If an agent profile is associated with the RADIUS client (the VPN server, wireless 
access point, or network access servers supporting dial-in modems) used by the 
trusted user, the trusted user receives the attributes of that profile. Otherwise, the user 
receives the default profile, if one is specified. 
Authentication Agent Assignment
Assigning a profile to an authentication agent causes the attributes in the profile to be 
assigned to all users authenticating using that specific RADIUS client device.
For example, a remote user authenticating through a VPN server could have access to 
one set of resources while that same user authenticating over a wireless access point 
could access a reduced set of services. RSA RADIUS allows administrators to choose 
whether an agent profile takes precedence over a user profile. This avoids conflicts in 
the case where a profile for users and a profile for an agent could both be applied to a 
user. For instructions, see the Security Console Help topic “Configure RADIUS 
Settings.”
Profile Priority
To avoid conflicts in cases where a profile for users and a profile for an agent could 
both be applied to a user, for example, you assign a RADIUS profile to a user, and the 
user requests network access from a RADIUS client with an agent that has a different 
assigned profile. To prevent profile conflicts, specify the profile precedence. 
For instructions, see the Security Console Help topic “Choose the Priority of Agent or 
User RADIUS Profiles.”
13: Administering RSA RADIUS
317
RSA Authentication Manager 8.1 Administrator’s Guide
Profile Assignment Example
The following figure shows how RADIUS applies profiles to users based on 
associations of profiles to users and agents (RADIUS clients). 
• Jim is not explicitly associated with a profile. He authenticates through VPN2 that 
does have an explicitly associated profile, so he gets the profile for VPN agents.
• Liz_Admin is explicitly associated with the profile for Administrators. She is 
authenticating through a wireless access point that also has an explicitly 
associated profile. As both profiles could be applied to Liz Admin, the precedence 
mechanism determines which profile is applied. 
• Michelle does not have an associated profile. She is authenticating through VPN3 
that also does not have an explicitly associated profile for agents. RADIUS 
applies the default profile because no other profile applies to Michelle.
Specify the Default RADIUS Profile
Specify the default RADIUS profile that the RADIUS server assigns to a user's 
network request, if the user and the agent (that the user sends the network request to) 
do not have an assigned RADIUS profile.
Before You Begin
You must be a Super Admin.
Profile for VPN Agents 
Profile for Wireless 
Access Point Agents
Associated Users:
Bob, Liz
RADIUS Server
Associated User Aliases:
Bob_Admin, Liz_Admin
OR
Associated Clients:
Wireless Access Points 
Default Profile 
RADIUS Clients 
(Agents)
VPN 1
VPN 2
VPN 3
Profile for Dial-In 
Modem Agents
Associated Clients:
VPN 1, VPN 2
Network Access 
Server for Dial-in 
Modems
Associated Clients:
Network Access Servers
Wireless Access 
Points
Michelle
Jim
Users who have no other 
profile get this profile.
Liz_Admin
Precedence
Profile for Admins
Profile for Users
318
13: Administering RSA RADIUS
RSA Authentication Manager 8.1 Administrator’s Guide
Procedure
1. In the Security Console, click Setup > System Settings. 
2. Under Advanced Settings, click RADIUS.
3. Select the profile from the Selected RADIUS Profile drop-down menu for 
Default RADIUS Profile.
4. Click Save.
RADIUS User Attributes
RSA RADIUS supports standard and custom RADIUS attributes.
• Standard. Attributes with fixed names and assigned ID numbers specified by the 
RADIUS protocol. For more information, see the RADIUS client device 
documentation.
• Custom. Attributes defined by a RADIUS client manufacturer that are not 
included in the RADIUS protocol. If you want to use these custom attributes, you 
define them through the Security Console, and then assign them to a user or 
trusted user. The user alias of a user is also assigned these custom attributes. For 
more information, see the Security Console Help topic, Edit a Custom RADIUS 
User Attribute Definition.
If you have attributes that you want to assign to more than one user, user alias, trusted 
user, or agent, you can create a profile with the attributes and assign the profile to the 
object. 
If you want to assign specific standard or custom attributes to only one user or trusted 
user, you can assign these RADIUS attributes to a user or trusted user outside of a 
RADIUS profile. RADIUS attributes that you assign to a user or trusted user outside 
of a profile are called RADIUS user attributes. When you can assign RADIUS user 
attributes to a user, any user alias of the user is also assigned the attributes. You cannot 
assign user attributes to an agent. RSA Authentication Manager automatically assigns 
the attribute with its value to user aliases associated with the user object.
You can define a RADIUS user attribute in two ways:
• Without an actual value
When this attribute is assigned to a user, the administrator can enter the value 
appropriate for that user. For example, if the RADIUS user attribute is Callback 
Number, the administrator enters the user’s callback phone number when he or 
she applies the attribute to the user. (RADIUS can use a callback number to ensure 
that a user is calling from a specific phone number). RADIUS user attributes 
override profile attributes with the same name. 
• Mapped to data stored in an identity source
In this case, the attribute returns information that is already stored in an identity 
source, such as an LDAP corporate identity database, avoiding the need to 
maintain attribute values in multiple places. 
13: Administering RSA RADIUS
319
RSA Authentication Manager 8.1 Administrator’s Guide
The RADIUS server sends RADIUS user attributes along with the profile return list 
attributes to a RADIUS client. These assigned RADIUS user attributes override 
attributes assigned to the user or trusted user through profiles.
You can also map a RADIUS user attribute definition to an identity source attribute. 
The RADIUS server applies the value of the identity source attribute to the RADIUS 
user attribute definition. For example, you can map the RADIUS Callback-ID 
attribute to the Phone Number attribute in the LDAP corporate database. If you do not 
map a RADIUS user attribute definition to an identity source attribute, when you 
assign the RADIUS attribute to the user or trusted user, you must enter the attribute 
value.
User Attribute Assignment Example
The following figure shows the relationship of profile return list attributes and 
RADIUS user attributes when user Alice authenticates using RADIUS. Alice is 
assigned RADIUS user attributes a and b (attribute c is assigned to someone else). 
When Alice authenticates successfully, she gets all of the profile attributes and 
RADIUS user attributes a and b. The value for RADIUS user attribute b is taken from 
an LDAP identity store.
Add a Custom RADIUS User Attribute Definition
RADIUS user attributes can be assigned to user outside of the user’s assigned 
RADIUS profile. For example, you might want to add a callback telephone number 
attribute to later individually assign to users with their specific telephone numbers. 
A custom RADIUS user attribute can be either of the following:
• A new, non-standard RADIUS attribute (value of 64 to 255) that you add a to a 
RADIUS dictionary.
• A non-standard RADIUS attribute that exists in a RADIUS dictionary.
You can add a custom user attribute definition with or without an actual value, or map 
it to an attribute in an LDAP directory.
320
13: Administering RSA RADIUS
RSA Authentication Manager 8.1 Administrator’s Guide
Before You Begin
• When the custom RADIUS attribute is a new attribute, make sure that it does not 
conflict with an existing attribute in the dictionary. If the dictionary contains an 
attribute that uses the same name or number as the attribute that you want to add, 
comment out the conflicting attribute.
• When you create a new custom attribute, for each RADIUS client type that uses 
the attribute, add a RADIUS attribute definition to the RADIUS dictionary for that 
client type. You must add the attribute to the dictionary on each RSA RADIUS 
server. For instructions, see the Operations Console Help topic “Add a RADIUS 
Attribute Definition to a Dictionary.”
Procedure
1. In the Security Console, click RADIUS > RADIUS User Attribute Definitions 
> Add New.
2. In the Number field, enter a number between 64 and 225.
3. In the Attribute Name field, enter a name that describes the function of the 
attribute.
Enter a name that is different from the standard RADIUS attribute names.
4. In the Map to Identity Attribute section, select whether to map the custom 
attribute to an identity source attribute or to manually enter the attribute value, and 
do one of the following:
• If you select Yes, select the identity attribute to which you want to map the 
RADIUS attribute, and enter any notes about this attribute mapping, for 
example, Mapped to telephone number in HR database.
• If you select No, enter the default value and any notes about this attribute, for 
example, User's office telephone number as of October 1, 2012.
5. Click Save.
Next Step
If you do not enter the value when you add the definition, you must enter the attribute 
value when you assign the attribute to a user or trusted user. For more information, see 
Assign RADIUS User Attributes to User
s
.
Assign RADIUS User Attributes to Users
You can assign standard or custom RADIUS attributes to a user. For example, you 
might assign the Callback-Number attribute to a user with the value as the user's 
individual office telephone number. RSA Authentication Manager automatically 
assigns the attribute with its value to user aliases associated with the user object.
If you assign a user to a RADIUS attribute both in a RADIUS profile and as a 
RADIUS user attribute, the RADIUS server applies the value that you specify in the 
RADIUS user attribute definition.
Documents you may be interested
Documents you may be interested