Начиная с версии 1.5.2074 система WNAM поддерживает динамическую авторизацию пользователей административного веб-интерфейса по протоколу RADIUS. Данная возможность может быть является востребованной у заказчиков, имеющих в штате значительное число специалистов с различными ролями (администраторов, операторов, операторов портала, менеджеров), которым необходимо работать с системой WNAM, но при этом не желательно статическое хранение их учетных записей в БД системы. Зачастую Как правило, заказчики применяют внешние средства хранения такой информации, например, Active Directory , или RADIUS-сервера , с целью централизованной аутентификации и авторизации доступа к различным информационным системам. Система WNAM позволяет производить допуск пользователя в административный интерфейс администратора на основе проверки пары "логин-пароль" , и получения назначенной роли (прав) , у внешнего RADIUS-сервера, в котором могут быть настроены как локальные учетные записи, так и интеграция с Active Directory.
В Далее в качестве примера приведены настройки RADIUS-сервера Cisco ACS 5.8 с локальными записями.
Необходимо В первую очередь, необходимо создать (привязать) какой-то либо RADIUS-атрибут, через который будет передаваться название роли пользователя интерфейса (администратор, оператор и т.п.). В нашем примере возьмем рассмотрен незанятый стандартный атрибут номер 208 , из перечня атрибутов IETF.
...
При редактировании атрибута установите следует установить имя (произвольно, например, WNAM-208) , и укажите указать тип: String.
Необходимо также Также необходимо сформировать новое поле в профиле создаваемой учетной записи, в котором будет задаваться роль для пользователя:.
Пусть имя поля будет WnamRole:В качестве имени поля использовано WnamRole.
Создадим Далее следует создать группу сетевых устройств (RADIUS-клиентов) - сервера WNAM (WNAM servers):.
И добавим Далее в группу сетевых устройств необходимо добавить сервер WNAM с адресом 172.16.135.6 в неё, указав RADIUS-ключ (пароль на взаимодействия WNAM и RADIUS-сервера):.
Создадим также Далее требуется создать группу локальных пользователей (администраторов WNAM, WNAM admins):.
Добавим Далее необходимо добавим локальную учетную запись в эту группу . Задайте локальных пользователей и задать пароль (дважды), а также в поле роли (WnamRole) укажите указать требуемую роль на выбор:
- ADMIN;
- OPERATOR;
- OPERATOR_LIM;
- PORTAL;
- VIEWER.
У вас После произведенных действий сформируется таблица локальных учетных записей:.
Теперь создадим Далее необходимо создать авторизационный профиль (что применяется, когда авторизация проходит успешно):.
Необходимо прикрепить передачу атрибута 208 со значением, динамически получаемым из поля WnamRole авторизованной учетной записи:.
Теперь установим Далее следует установить политику доступа (что проверяется и что применяется) в разделе идентификации. Раздел идентификации:
| Warning |
|---|
| Свойство правила Rule-WNAM: если клиент - типа "сервер WNAM" и тип авторизации - PAP, то источник авторизационных данных - локальная таблица, Internal Users |
...
| . |
Теперь задаем Далее следует задать политику доступа: что делать, когда авторизация прошла успешно:.
Использовать профиль Необходимо настроить использование профиля "WNAM admin access", т.е. передавать заполненный 208й атрибут:.
С сервера WNAM из командной строки проверяемрекомендуется проверить, что запрос к серверу проходит успешно, и в ответе присутствует имя роли (оно будет в hex-представлении 208-го атрибута):
root@debian64:~# radtest support support acs58.local 1 wnam
Sending Access-Request of id 111 to 72.211.44.19 port 1812
User-Name = "support"
User-Password = "support"
NAS-IP-Address = 127.0.1.1
NAS-Port = 1
Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 72.211.44.19 port 1812, id=111, length=86
User-Name = "support"
Class = 0x434143533a61637335382f3332383334323737352f313733373238
Message-Authenticator = 0x2eddfaf2d924b50f6f21290d9d2bc908
Attr-208 = 0x4f50455241544f52
Если проверка проходит прошла успешно, то можно приступать к настройке системы WNAM. За авторизацию пользователей веб-интерфейса через RADIUS-сервер отвечает следующий набор параметров конфигурационного файла /etc/wnam.properties:, представленный в таблице.
| Имя параметра | Значение |
|---|---|
| radius_webuser_auth | true True или false (по умолчанию). Включает , включает механизм динамической авторизации через RADIUS. |
| radius_webuser_server | Строка, IP-адрес или DNS-имя RADIUS-сервера. |
| radius_webuser_secret | Секретный ключ взаимодействия с сервером. |
| radius_webuser_attr | Номер атрибута, в котором передается имя роли. |
| radius_webuser_create | true True или false (по умолчанию). Создавать ли постоянную учетную запись Отвечает за создание постоянной учетную записи в "пользователях веб-интерфейса" при первой RADIUS-авторизации. Если запись будет создана, пользователь сам сможет устанавливать постоянные значения своего адреса электронной почты, преференции по языку интерфейса или единицам объёма трафика. Проверка пароля по-прежнему будет идти через RADIUS-сервер. |
...