Для реализации некоторых корпоративных сценариев аутентификации система WNAM предлагает предоставляет возможность получения , и проверки значения , некоторого LDAP-атрибута пользователя, взятого из Active Directory. На основе этого метода можно строить семейство политик авторизации, в котором сравнивается значение AD-атрибута со значением, полученным в RADIUS-запросе , или заданным в самой политике. На основании такого сравнения атрибутов принимается решение о (не) совпадении/несовпадении политики аутентификации, и как следствие - различная , определяется последующая логика работы подсистемы профилей.
Напомним, что в В домене ОС Windows Active Directory у любого объекта (но нас интересует объект в данном случае идет речь об объекте типа "Пользователь") есть некоторый набор атрибутов. Они выглядят Набор атрибутов выглядит как пары "ключ-значение", причем значением может быть строка/число/дата/массив и т.п. Набор возможных атрибутов определяется схемой Active Directory, которая может быть расширена либо администратором , либо или при установке сложного ПО (например, Exchange).
Атрибуты проще всего смотреть инструментом ADSI Editor:Для просмотра атрибутов объектов подходит инструмент ADSI Editor, представленный ниже.
Для того, чтобы использовать атрибуты при формировании политик аутентификации, вам необходимо выполнить следующие действия:
- Настроить взаимодействие с Active Directory.
- Выбрать интересующие вас необходимые атрибуты.
- Настроить условия матчинга атрибута в правиле (правилах) аутентификации.
Для примера мы сделаем два правилавыполним настройку двух правил:
- совпадающее при условии, что запрашивающий доступ пользователь авторизовался в домене более 10 раз
...
- ;
- совпадающее при условии, что в RADIUS-атрибуте "Cisco-AVPair-mdm-tlv-device-uid" в запросе пользователя значение совпадает с значением AD-атрибута extensionAttribute1.
Для настройки взаимодействия обратитесь к этому разделу документации. Обратите системы WNAM с доменом следует обратиться к соответствующему разделу настоящей документации (Способ интеграции системы WNAM с доменом). Следует обратить внимание, что поддерживается только новый способ интеграции (через flask-сервис) способ.
Вы можете использоватьМожно использовать одно из следующих взаимодействий:
- Только только LDAP-взаимодействие . При (при этом проверка учетной записи (пароля) будет происходить по LDAP, т.е. вы должны необходимо применять РАР авторизацию (VPN) либо локальную базу данных БД учетных записей с учётками, совпадающими с доменными.);
- LDAP и NTLM-взаимодействие . При (при этом проверка атрибута учетной записи будет происходить по LDAP, а проверка пароля при EAP-PEAP авторизации - по NTLM).
В любом случае, после окончания настройки взаимодействия вы должны необходимо при помощи какой-то либо учетной записи (она потом данная учетная запись в последующем не используется, т.е. применяется разово) получить список атрибутов из AD:. Список атрибутов доступен в разделе "раздел".
и затем В представленном списке атрибутов необходимо отметить интересующие вас (в примере отмечен: extensionAttribute1 и logonCount) чекбоксами, не забыв сохранить этот списокизменения в списке.
Теперь Далее следует перейти в настройки профилей аутентификации , и создать (клонировать) два новых профиля .(раздел "Конфигурация" → "Профили пользователей"). Правила сопоставления SSID, сервера доступа и т.п. настройте, как обычноследует настроить в обычном режиме .
В "Методахразделе "Конфигурация" → "Методы" в разделе "EAP-PEAP" выберите ваш необходимо выбрать домен, настроенный ранее настроенный в интеграции с Active Directory. В "Методах" отметьте следует установить чекбокс "Совпадение в атрибуре в Active Directory (домен выбран ниже)". При этом выпадающий список атрибутов заполнится названиями, которые вы выбрали выбраны чекбоксами на стадии интеграции ("интересующие").
Выберите Затем следует выбрать способ сравнения из выпадающего списка. Допустимые способы:
- равно
...
- ;
- содержит
...
- ;
- не равно
...
- ;
- равно (
...
- MAC-адрес)
...
- $
- численные сравнения.
Теперь выберите Далее необходимо выбрать радио-переключателем один из двух источников данных для сравнения: заданное здесь же значение , или динамическое значение, получаемое из радиус атрибута. Соответственно укажите , следует указать здесь значение дня сравнения , или имя RADIUS-атрибута.
Для способа типа "Содержит" важно, чтобы значение, которое настроено в правиле (фиксированное или из атрибута) содержалось в AD-атрибуте пользователя (поиск по подстроке).
Для способа "Равно (МАС-адрес)" значение из AD-атрибута , и значение из правила (например, полученное из RADIUS-атрибута User-Name или Calling-Station-Id) , будут оба приведены к единому внутреннему формату МАС-адреса ХХ-ХХ-ХХ-ХХ-ХХ-ХХ, а затем сравнены.
Для способов "Численно..." значение из AD-атрибута , и значение из правила , оба будут приведены к типу long integer, а затем сравнены арифметически.
Если в ходе обработки аутентификационного запроса происходит проверка данного правила, производится запрос AD-атрибута в LDAP (возможно, асинхронный). Затем будет проведена проверка совпадения, в результате которой данное правило может быть оставлено , или убрано из списка правил-кандидатов.
В лог-файле системы WNAM с включенном режиме режимом трассировки появятся такие записи вида:
17:20:14.073 TRACE [A12Service.java:1056] - requestAttributeCheckInAd domain lab.wnam.ru lookup time 22 ms.17:20:14.073 TRACE [ASession.java:152] - log [25] requestAttributeCheckInAd - username 'vpupkin@lab.wnam.ru' is found in 'lab.wnam.ru'
17:20:14.073 TRACE [ASession.java:152] - log [26] requestAttributeCheckInAd - attribute logonCount, value '67'17:20:14.422 TRACE [A12Service.java:921] - filterForAdAttribute user: vpupkin@lab.wnam.ru, dom_req: null, attrs: [DomainAttribute [name=logonCount, value=67]]
17:20:14.422 TRACE [A12Service.java:947] - filterForAdAttribute user: vpupkin@lab.wnam.ru, rule: NumericGte, found with attr: DomainAttribute [name=logonCount, value=67], compare to: 1017:20:14.422 TRACE [ASession.java:152] - log [91] filterForAdAttribute - a1profiles candidates: 1, removed 0
Полученный в ходе LDAP-запроса список атрибутов кэшируется (по умолчанию на 10 минут). Просмотреть кэш можно по кнопке кнопкам внизу таблицы раздела "Диагностика - " → "Корпоративные подключения":. Кэш списка атрибутов представлен ниже.
17:23:42.321 INFO [A12Service.java:2299] - Dump AD user-group mapping cache, 1 entries:
17:23:42.322 INFO [A12Service.java:2307] - username: 'vpupkin' groups [1]: [Wi-Fi Test Users]
17:23:42.322 INFO [A12Service.java:2309] - Dump AD user-attribute mapping cache, 1 entries:
17:23:42.322 INFO [A12Service.java:2319] - username: 'vpupkin@lab.wnam.ru' a_v: [logonCount='67']
...