13: Administering RSA RADIUS
321
RSA Authentication Manager 8.1 Administrator’s Guide
Before You Begin
Enable RADIUS user attributes. For more information, see the Security Console Help 
topic “Enable or Disable RADIUS User Attributes.”
Procedure
1. In the Security Console, click Identity > Users > Manage Existing.
2. Click the user to which you want to assign an attribute.
3. From the context menu, click Authentication Settings.
4. In RADIUS User Attributes, do one of the following:
• If you want to add an attribute, select the attribute that you want to assign to 
the user, enter the value for the attribute in the Value field, and click Add.
• If you want to remove an attribute, select the attribute from the list, and click 
Remove.
• If you want to update an attribute, select the attribute from the list, enter the 
value in the field, and click Update.
A RADIUS user attribute can be mapped to an identity source attribute. For 
more information, see Map a RADIUS User Attribute Definition to an 
Identity Source Attribute
.
5. Click Save.
Map a RADIUS User Attribute Definition to an Identity Source Attribute
You can map a RADIUS user attribute definition to an identity source attribute. For 
example, you can map the RADIUS Callback-ID attribute to the Phone Number 
attribute in the corporate LDAP directory.
If you do not map a RADIUS user attribute definition to an identity source attribute, 
when you assign the RADIUS attribute to the user, you must enter the attribute value.
Procedure
1. In the Security Console, click RADIUS > RADIUS User Attribute Definitions 
> Manage Existing.
2. Click Standard Attributes or Custom Attributes.
3. Click the attribute that you want to map.
4. From the context menu, click Edit.
5. In Map to an Identity Attribute, select Yes.
6. From the Select an Identity Attribute list, select the identity attribute for which 
you want to map the RADIUS attribute.
7. Click Save.
Convert pdf to editable powerpoint online - application control utility:C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
www.rasteredge.com
Convert pdf to editable powerpoint online - application control utility:VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
www.rasteredge.com
322
13: Administering RSA RADIUS
RSA Authentication Manager 8.1 Administrator’s Guide
Monitoring and Analyzing System Usage
After the initial deployment is installed and configured, you may need to actively 
monitor RSA RADIUS system usage for the purposes of detecting attacks, auditing, 
and troubleshooting.
This section explains RSA RADIUS system usage analysis in detail. The following 
tasks are described:
• View RADIUS Server Statistics
• View RADIUS Client Authentication and Accounting Statistics
RADIUS Server Authentication Statistics
Authentication statistics summarize the number of authentication acceptances and 
rejections, with summary totals for each type of rejection or retry.
The following table describes the authentication statistics fields and the possible 
causes for some authentication rejections.
Authentication 
Statistic
Meaning
Transactions
Accepts
The current, average, and peak number of RADIUS transactions 
that resulted in an accept response. 
Rejects
The current, average, and peak number of RADIUS transactions 
that resulted in a reject response. These are detailed in the Reject 
Details section.
Overall
Total Transactions
The sum of the accept, reject, and silent discard totals.
Silent Discards
The number of requests in which the client could not be identified. 
This might occur if a RADIUS client entry cannot be found for a 
device with the name, IP address, or both of a device requesting 
authentication services.
Challenges
The number of challenges received from RADIUS clients. 
Reject Details
Dropped Packet
The number of RADIUS authentication packets dropped by 
RADIUS because the server was flooded with more packets than it 
could handle.
application control utility:C# PDF Convert to Text SDK: Convert PDF to txt files in C#.net
leading methods to convert target PDF document to other editable file formats RasterEdge.XDoc.PowerPoint.dll. How to Use C#.NET Demo Code to Convert PDF to Text
www.rasteredge.com
application control utility:C# PDF Convert to Word SDK: Convert PDF to Word library in C#.net
NET program. Convert PDF to multiple MS Word formats such as .doc and .docx. Create editable Word file online without email. Password
www.rasteredge.com
13: Administering RSA RADIUS
323
RSA Authentication Manager 8.1 Administrator’s Guide
View RADIUS Server Statistics
The Security Console begins tracking the statistics after a RADIUS server starts. 
When an administrator restarts the RADIUS server, the Security Console clears the 
statistics and begins the tracking again. You can record statistics in RADIUS log files.
Procedure
1. In the Security Console, click RADIUS > RADIUS Statistics > RADIUS Server 
Statistics.
2. From the Select a RADIUS Server drop-down list, select the server for which 
you want to view statistics.
3. Select a transaction type:
• Authentication. The number of accepts, rejects, silent discards, and 
challenges, and details about rejects and retries.
• Accounting. The number of starts, stops, ons, offs, and interim requests, and 
details about failures and retries.
Invalid Request
The number of invalid RADIUS requests made.
Possible Cause: A device is sending incorrectly formed packets to 
RADIUS. Either there is a configuration error or the device does 
not conform to the RADIUS standard.
Failed Authentication
The number of failed authentication requests, where the failure is 
due to invalid user name or password.
Possible Cause: If all transactions are failing authentication, the 
problem might be that the shared secret entered into RADIUS does 
not match the shared secret entered on the client device.
Failed on Checklist
The number of requests that were authenticated but failed to meet 
the checklist requirements.
Insufficient Resources
The number of rejects due to a server resource problem. 
Rejects Sent
Transactions Retried
The number of requests for which one or more duplicates was 
received.
Total Retry Packets
The number of duplicate packets received.
Authentication 
Statistic
Meaning
application control utility:C# Create PDF Library SDK to convert PDF from other file formats
PDF document from Microsoft Office Word, Excel and PowerPoint. Create and save editable PDF with a blank page Preview PDF documents without other plug-ins.
www.rasteredge.com
application control utility:VB.NET PDF Convert to Word SDK: Convert PDF to Word library in vb.
Convert PDF document to DOC and DOCX formats in Visual Basic control to export Word from multiple PDF files in Create editable Word file online without email.
www.rasteredge.com
324
13: Administering RSA RADIUS
RSA Authentication Manager 8.1 Administrator’s Guide
RADIUS Client Statistics
The Security Console displays statistics for the RSA RADIUS clients in RSA 
Authentication Manager. The statistics contain authentication and accounting data for 
RADIUS clients. 
The Security Console begins tracking the statistics after an administrator starts the 
RADIUS server that is associated with the RADIUS client. When an administrator 
restarts the RADIUS server, the Security Console clears the statistics and begins the 
tracking again. You can record statistics in RADIUS log files.
When displaying RADIUS client statistics, the Security Console allows you to choose 
from the following four types:
• Accounting Request Diagnostics
• Account Request Types
• Authentication Request Diagnostics
• Summary
To view RADIUS client statistics, see the Security Console Help topic “Edit a 
Standard RADIUS User Attribute.” You can view subsets of authentication and 
accounting statistics.
Authentication Statistics
Authentication confirms that valid users request network services. Authentication 
statistics include the following.
Statistic
Description
Authentication Request Diagnostics
Retry packets
Number of duplicate messages sent by the client to its 
associated RADIUS server.
Invalid secrets
Number of messages with invalid accounting secrets sent by the 
client to its associated RADIUS server.
Challenges
Number of challenges sent by the client to its associated 
RADIUS server.
Invalid requests
Number of invalid RADIUS requests made by this RADIUS 
client. For example, the client is sending incorrectly formed 
packets to the RADIUS server because there is a configuration 
error or the device does not conform to the RADIUS standard.
Invalid types
Number of invalid accounting types sent by the client to its 
associated RADIUS server. For example, the client sends a 
RADIUS packet on the server accounting port that is not a 
RADIUS Accounting-Request packet.
Dropped Packets
Number of RADIUS accounting packets dropped by the 
RADIUS client because it received more packets than it could 
handle.
application control utility:VB.NET PDF Convert to Text SDK: Convert PDF to txt files in vb.net
control for batch converting PDF to editable & searchable RasterEdge.XDoc.PowerPoint. dll. ' pdf convert to txt DocumentConverter.ToDocument("C:\\test.pdf", "C
www.rasteredge.com
application control utility:VB.NET Create PDF from Word Library to convert docx, doc to PDF in
VB.NET How-to, VB.NET PDF, VB.NET Word, VB.NET Excel, VB.NET PowerPoint, VB.NET Tiff, VB Convert multiple pages Word to fillable and editable PDF documents.
www.rasteredge.com
13: Administering RSA RADIUS
325
RSA Authentication Manager 8.1 Administrator’s Guide
Accounting Statistics
Accounting tracks the network resources used by users. Accounting statistics include 
the following.
Statistic
Description
Accounting Request Diagnostics
Retry packets
Number of duplicate packets sent by the client to its associated 
RADIUS server.
Invalid secrets
Number of failed authentication requests sent by this client, 
where the failure is due to using an invalid secret.
Invalid requests
Number of invalid RADIUS requests that this client sent to its 
associated server. For example, the client sends a request that 
does not parse properly.
Invalid types
Number of invalid authentication types sent by the client to its 
associated RADIUS server. For example, the client sends a 
request to the wrong port on the server.
Dropped packets
Number of RADIUS authentication packets sent by the client to 
its associated RADIUS server that the server drops for various 
reasons, such as a resource error.
Accounting Request Types
Starts
Number of accounting start messages sent by the client to its 
associated RADIUS server.
Stops
Number of accounting stop messages sent by the client to its 
associated RADIUS server.
Interim requests
Number of interim accounting packets sent by the client to its 
associated RADIUS server.
Ons
Number of Accounting-On messages sent by the client to its 
associated RADIUS server when the RADIUS client restarts.
Offs
Number of Accounting-Off messages sent by the client to its 
associated RADIUS server when the RADIUS client shuts 
down.
Acks
Number of acknowledgement messages that the associated 
RADIUS server sent to this client.
application control utility:VB.NET Create PDF from Excel Library to convert xlsx, xls to PDF
Create fillable and editable PDF documents from Excel in Create searchable and scanned PDF files from Excel in VB Convert to PDF with embedded fonts or without
www.rasteredge.com
application control utility:C# Create PDF from Excel Library to convert xlsx, xls to PDF in C#
Create fillable and editable PDF documents from Excel in both Create searchable and scanned PDF files from Excel. Convert to PDF with embedded fonts or without
www.rasteredge.com
326
13: Administering RSA RADIUS
RSA Authentication Manager 8.1 Administrator’s Guide
Summary Statistics
Summary statistics include information about authentication and accounting requests, 
accepts and rejects.
View RADIUS Client Authentication and Accounting Statistics
You can view authentication and accounting statistics for the RSA RADIUS clients in 
RSA Authentication Manager.
Procedure
1. In the Security Console, click RADIUS > RADIUS Statistics > RADIUS Client 
Statistics.
2. From the Select RADIUS Client drop-down list, select the client for which you 
want to view statistics, and select the RADIUS server with which the client is 
associated.
3. Select a transaction type:
• Accounting Request Diagnostics. The number of duplicate messages, 
messages with invalid secrets, malformed messages, messages with incorrect 
types, and dropped requests for each RADIUS client.
• Accounting Request Types. The number of accounting start messages, 
accounting stop messages, interim messages, Accounting-On messages, 
Accounting-Off messages, and acknowledgement messages sent for each 
RADIUS client.
• Authentication Request Diagnostics. The number of duplicate messages, 
challenges, messages containing invalid authentication information, bad 
authentication requests, bad types, and dropped requests for each RADIUS 
client.
Statistic
Description
Auth reqs
Total number of authentication requests sent by this client to its 
associated RADIUS server.
Accepts
Number of accept messages that the client received from its 
associated RADIUS server.
Rejects
Number of reject messages that the client received from its 
associated RADIUS server.
Acct Reqs
Total number of accounting requests sent by the client to its 
associated RADIUS server.
Starts
Number of transactions handled by this client in which a dial-in 
connection was started following a successful authentication.
Stops
Number of transactions handled by this client in which a dial-in 
connection was terminated by the RADIUS client.
13: Administering RSA RADIUS
327
RSA Authentication Manager 8.1 Administrator’s Guide
• Summary. The number of authentication requests, Access-Accept messages, 
Access-Reject messages, and the total number of accounting requests, starts, 
and stops for each RADIUS client.
Accounting Attributes and Administrator Actions to Record
When users authenticate, RADIUS clients send attributes for each user authentication 
attempt. RADIUS servers collect this information and can save as much or as little as 
needed for billing or monitoring purposes. The server writes the information to a 
comma-delimited file suitable for inclusion in a spreadsheet or other application. 
RADIUS log files record administrator actions including authentications and any 
changes made using the Security Console or Operations Console. 
The following table describes the files that establish settings for accounting and 
logging. For more information on modifying configuration files, see the 
RSA Authentication Manager 8.1 RADIUS Reference Guide.  
RADIUS Server Log Files
The server log file records RADIUS events, such as server startup or shutdown or user 
authentication or rejection, as a series of messages in an ASCII text file. Each line of 
the server log file identifies the date and time of the RADIUS event, followed by event 
details. You can open the current log file while RADIUS is running.
You can specify a maximum size for a server log file by entering a non-zero value for 
the LogfileMaxMBytes setting in the [Configuration] section of the radius.ini file.
• If a maximum file size is set, the server log filename identifies the date and time it 
was opened (YYYYMMDD_HHMM.log). When the current server log file 
approaches the specified number of megabytes (1024 x 1024 bytes), the current 
log file is closed and a new one is opened. The closed file will be slightly smaller 
than the specified maximum file size. 
• If the maximum file size is set to 0 (or if the LogfileMaxMBytes setting is absent), 
the server log file size is ignored, and log filenames are date stamped to identify 
when they were opened (YYYYMMDD.log).
Note: 
The size of the log file is checked once per minute, and the log file cannot roll 
over more than once a minute. The log file may exceed the specified maximum file 
size temporarily (for less than a minute) after it passes the LogfileMaxMBytes 
threshold between size checks.
You can control the level of detail recorded in server log files by use of the LogLevel, 
LogAccept, LogReject, and TraceLevel settings.
File Name
Function
account.ini
Controls how RADIUS accounting attributes are logged. 
radius.ini
Controls (among other things) the types of messages 
that RADIUS records in the server log file and the 
location of the log directory. 
328
13: Administering RSA RADIUS
RSA Authentication Manager 8.1 Administrator’s Guide
The LogLevel setting determines the level of detail given in the server log file. The 
LogLevel can be the number 0, 1, or 2, where 0 is the least amount of information, 1 is 
intermediate, and 2 is the most verbose. The LogLevel setting is specified in the 
[Configuration] section of radius.ini and in the [Settings] sections of .aut files. 
The LogAccept and LogReject flags allow you to turn on or off the logging of 
Access-Accept and Access-Reject messages in the server log file. These flags are set 
in the [Configuration] section of radius.ini. A value of 1 causes these messages to be 
logged, and a value of 0 causes the messages to be omitted. An Accept or Reject is 
logged only if LogAccept or LogReject, respectively, is enabled and the LogLevel is 
“verbose” enough for the message to be recorded. 
The TraceLevel setting specifies whether to log packets when they are received and 
being processed, and what level of detail to recorded in the log
.
Using the Accounting Log File
RADIUS accounting events are recorded in the accounting log file. Accounting events 
include START messages, indicating the beginning of a connection; STOP messages, 
indicating the termination of a connection, and INTERIM messages, indicating that a 
connection is ongoing.
Accounting log files use comma-delimited, ASCII format, and are intended for import 
into a spreadsheet or database program. Accounting log files are located in the 
RADIUS database directory by default. Accounting log files are named 
yyyymmdd.ACT, where yyyy is the 4-digit year, mm is the month, and dd is the day on 
which the log file was created.
The current log file can be opened while RADIUS is running.
Accounting Log File Format
The first six fields in every accounting log entry are provided by RADIUS for your 
convenience in reading and sorting the file:
• Date. The date when the event occurred
• Time. The time when the event occurred
• RAS-Client. The name or IP address of the RADIUS client sending the 
accounting record
• Record-Type. START, STOP, INTERIM, ON, or OFF, the standard RADIUS 
accounting packet types
• Full-Name. The fully distinguished name of the user, based on the 
authentication performed by the RADIUS server
• Auth-Type. A number that indicates the class of authentication performed:
10—SecurID User
11—SecurID Prefix
12—SecurID Suffix
By default, the standard RADIUS attributes follow the Auth-Type identifier. For more 
information, see Standard RADIUS Accounting Attributes
on page 330.
You can edit the account.ini initialization file to add, remove, or reorder the standard 
RADIUS or vendor-specific attributes that are logged. For more information, see the 
RSA Authentication Manager 8.1 RADIUS Reference Guide. 
13: Administering RSA RADIUS
329
RSA Authentication Manager 8.1 Administrator’s Guide
Accounting Log File Headings and Placeholders
The first line of the accounting log file is a file header that lists the attributes that have 
been enabled for logging in the order in which they are logged. The following 
example of a first line shows the required headings in bold italic, the standard 
RADIUS headings in bold, and the vendor-specific headings in regular text:
"Date","Time", "RAS-Client", "Record-Type", "Full-Name", 
"Auth-Type", "User-Name", "NAS-Port", "Acct-Status-Type", 
"Acct-Delay-Time", "Acct-Input-Octets", "Acct-Output-Octets", 
"Acct-Session-Id", "Acct-Authentic","Acct-Session-Time", 
"Acct-Input-Packets", "Acct-Output-Packets", 
"Acct-Termination-Cause", "Acct-Multi-Session-Id", 
"Acct-Link-Count","Acc-Err-Message", 
"Nautica-Acct-SessionId","Nautica-Acct-Direction", 
"Nautica-Acct-CauseProtocol","Nautica-Acct-CauseSource", 
"Telebit-Accounting-Info","Last-Number-Dialed-Out", 
"Last-Number-Dialed-In-DNIS","Last-Callers-Number-ANI", 
"Channel","Event-Id","Event-Date-Time", 
"Call-Start-Date-Time","Call-End-Date-Time", 
"Default-DTE-Data-Rate","Initial-Rx-Link-Data-Rate", 
"Final-Rx-Link-Data-Rate","Initial-Tx-Link-Data-Rate", 
"Final-Tx-Link-Data-Rate","Sync-Async-Mode", 
"Originate-Answer-Mode","Modulation-Type", 
"Equalization-Type","Fallback-Enabled","Characters-Sent", 
"Characters-Received","Blocks-Sent","Blocks-Received", 
"Blocks-Resent","Retrains-Requested","Retrains-Granted", 
"Line-Reversals","Number-Of-Characters-Lost", 
"Number-of-Blers","Number-of-Link-Timeouts", 
"Number-of-Fallbacks","Number-of-Upshifts", 
"Number-of-Link-NAKs","Back-Channel-Data-Rate", 
"Simplified-MNP-Levels","Simplified-V42bis-Usage", "PW_VPN_ID"
RSA RADIUS writes accounting events to the accounting log file. If an event 
recorded in the accounting log file does not have data for every attribute, a comma 
placeholder marks the empty entry so that all entries remain correctly aligned with 
their headings. For example, based on the “first line” of headings shown in the 
example above, the following is a valid accounting log entry, in which the value of the 
Acct-Status-Type attribute is 7:
"12/23/1997","12:11:55","RRAS","Accounting-On",
,,,,7,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
,,,,,,,,,,,,,,,,,,
330
13: Administering RSA RADIUS
RSA Authentication Manager 8.1 Administrator’s Guide
Standard RADIUS Accounting Attributes
The following table lists the standard RADIUS accounting attributes defined in RFC 
2866, “RADIUS Accounting.” 
RADIUS Accounting Attributes
Description
User-Name
Name of the user as received by the client.
NAS-Port
Port number on the client device.
Acct-Status-Type
A number that indicates the beginning or 
ending of the user service:
1—Start
2—Stop
3—Interim-Acct
7—Accounting-On
8—Accounting-Off
Acct-Delay-Time
Number of seconds the client has been trying to 
send this record, which can be subtracted from 
the time of arrival on the server to find the 
approximate time of the event generating this 
request.
Acct-Input-Octets
Number of octets (bytes) received by the port 
over the connection. This is present only in 
STOP records.
Acct-Output-Octets
Number of octets (bytes) sent by the port over 
the connection. This is present only in STOP 
records.
Acct-Session-Id
Identifier used to match START and STOP 
records in a log file.
Acct-Authentic
Indicates how the user was authenticated by 
RADIUS, the network access device (local) or 
another remote authentication protocol:
1—RADIUS
2—Local
3—Remote
Acct-Session-Time
Elapsed time of connection in seconds. This is 
present only in STOP records.
Acct-Input-Packets
Number of packets received by the port over 
the connection. This is present only in STOP 
records.
Documents you may be interested
Documents you may be interested