Авторизация по RADIUS

Начиная с версии 1.5.2074 WNAM поддерживает динамическую авторизацию пользователей административного веб-интерфейса по протоколу RADIUS.

Данная возможность может быть востребованной у заказчиков, имеющих в штате значительное число специалистов (администраторов, операторов, операторов портала, менеджеров), которым необходимо работать с WNAM, но при этом не желательно статическое хранение их учетных записей в БД системы. Зачастую заказчики применяют внешние средства хранения такой информации, например Active Directory, RADIUS-сервера, с целью централизованной аутентификации и авторизации доступа к различным информационным системам.

WNAM позволяет производить допуск пользователя в административный интерфейс на основе проверки пары "логин-пароль", и получения назначенной роли (прав), у внешнего RADIUS-сервера, в котором могут быть настроены как локальные учетные записи, так и интеграция с Active Directory.

В качестве примера приведены настройки RADIUS-сервера Cisco ACS 5.8 с локальными записями.

Необходимо создать (привязать) какой-то RADIUS-атрибут, через который будет передаваться название роли пользователя интерфейса (администратор, оператор и т.п.). В нашем примере возьмем незанятый стандартный атрибут номер 208, из перечня атрибутов IETF.

При редактировании атрибута установите имя (произвольно, например WNAM-208), и укажите тип: String.

Необходимо также сформировать новое поле в профиле создаваемой учетной записи, в котором будет задаваться роль для пользователя:

Пусть имя поля будет WnamRole:

Создадим группу сетевых устройств (RADIUS-клиентов) - сервера WNAM (WNAM servers):

И добавим сервер WNAM с адресом 172.16.135.6 в неё, указав RADIUS-ключ (пароль на взаимодействия WNAM и RADIUS-сервера):

Создадим также группу локальных пользователей (администраторов WNAM, WNAM admins):

Добавим локальную учетную запись в эту группу. Задайте пароль (дважды), а также в поле роли (WnamRole) укажите требуемую роль на выбор:

• ADMIN
• OPERATOR
• OPERATOR_LIM
• PORTAL
• VIEWER

У вас сформируется таблица локальных учетных записей:

Теперь создадим авторизационный профиль (что применяется, когда авторизация проходит успешно):

Необходимо прикрепить передачу атрибута 208 со значением, динамически получаемым из поля WnamRole авторизованной учетной записи:

Теперь установим политику доступа (что проверяется и что применяется). Раздел идентификации:

Свойство правила Rule-WNAM: если клиент - типа "сервер WNAM" и тип авторизации - PAP, то источник авторизационных данных - локальная таблица, Internal Users:

Теперь задаем политику доступа: что делать, когда авторизация прошла успешно:

Использовать профиль "WNAM admin access", т.е. передавать заполненный 208й атрибут:

С сервера WNAM из командной строки проверяем, что запрос к серверу проходит успешно, и в ответе присутствует имя роли (оно будет в hex-представлении 208-го атрибута):

root@debian64:~# radtest support support acs58.local 1 wnam
Sending Access-Request of id 111 to 72.211.44.19 port 1812
 User-Name = "support"
 User-Password = "support"
 NAS-IP-Address = 127.0.1.1
 NAS-Port = 1
 Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 72.211.44.19 port 1812, id=111, length=86
 User-Name = "support"
 Class = 0x434143533a61637335382f3332383334323737352f313733373238
 Message-Authenticator = 0x2eddfaf2d924b50f6f21290d9d2bc908
 Attr-208 = 0x4f50455241544f52

Если проверка проходит успешно, то можно приступать к настройке WNAM. За авторизацию пользователей веб-интерфейчас через RADIUS-сервер отвечает следующий набор параметров конфигурационного файла /etc/wnam.properties: