...
В качестве примера приведены настройки RADIUS-сервера Cisco ACS 5.8 с локальными записями.
Необходимо создать (привязать) какой-то RADIUS-атрибут, через который будет передаваться название роли пользователя интерфейса (администратор, оператор и т.п.). В нашем примере возьмем незанятый стандартный атрибут номер 208, из перечня атрибутов IETF.
При редактировании атрибута установите имя (произвольно, например WNAM-208), и укажите тип: String.
Необходимо также сформировать новое поле в профиле создаваемой учетной записи, в котором будет задаваться роль для пользователя:
Пусть имя поля будет WnamRole:
Создадим группу сетевых устройств (RADIUS-клиентов) - сервера WNAM (WNAM servers):
И добавим сервер WNAM с адресом 172.16.135.6 в неё, указав RADIUS-ключ (пароль на взаимодействия WNAM и RADIUS-сервера):
Создадим также группу локальных пользователей (администраторов WNAM, WNAM admins):
Добавим локальную учетную запись в эту группу. Задайте пароль (дважды), а также в поле роли (WnamRole) укажите требуемую роль на выбор:
- ADMIN
- OPERATOR
- OPERATOR_LIM
- PORTAL
- VIEWER
У вас сформируется таблица локальных учетных записей:
Теперь создадим авторизационный профиль (что применяется, когда авторизация проходит успешно):
Необходимо прикрепить передачу атрибута 208 со значением, динамически получаемым из поля WnamRole авторизованной учетной записи:
Теперь установим политику доступа (что проверяется и что применяется). Раздел идентификации:
Свойство правила Rule-WNAM: если клиент - типа "сервер WNAM" и тип авторизации - PAP, то источник авторизационных данных - локальная таблица, Internal Users:
Теперь задаем политику доступа: что делать, когда авторизация прошла успешно:
Использовать профиль "WNAM admin access", т.е. передавать заполненный 208й атрибут:
С сервера WNAM из командной строки проверяем, что запрос к серверу проходит успешно, и в ответе присутствует имя роли (оно будет в hex-представлении 208-го атрибута):
root@debian64:~# radtest support support acs58.local 1 wnam
Sending Access-Request of id 111 to 72.211.44.19 port 1812
User-Name = "support"
User-Password = "support"
NAS-IP-Address = 127.0.1.1
NAS-Port = 1
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 72.211.44.19 port 1812, id=111, length=86
User-Name = "support"
Class = 0x434143533a61637335382f3332383334323737352f313733373238
Message-Authenticator = 0x2eddfaf2d924b50f6f21290d9d2bc908
Attr-208 = 0x4f50455241544f52
Если проверка проходит успешно, то можно приступать к настройке WNAM. За авторизацию пользователей веб-интерфейчас через RADIUS-сервер отвечает следующий набор параметров конфигурационного файла /etc/wnam.properties:
| Имя параметра | Значение |
|---|---|
| radius_webuser_auth | true или false (по умолчанию). Включает механизм динамической авторизации |
| radius_webuser_server | Строка, IP-адрес или DNS-имя RADIUS-сервера |
| radius_webuser_secret | Секретный ключ взаимодействия с сервером |
| radius_webuser_attr | Номер атрибута, в котором передается имя роли |
| radius_webuser_create | true или false (по умолчанию). Создавать ли постоянную учетную запись в "пользователях веб-интерфейса" при первой RADIUS-авторизации. Если запись будет создана, пользователь сам сможет устанавливать постоянные значения своего адреса электронной почты, преференции по языку интерфейса или единицам объёма трафика. Проверка пароля по-прежнему будет идти через RADIUS-сервер. |