Данный способ интеграции основан на запуске отдельного сервиса, который занимается маршрутизацией запросом от WNAM ко внутренним компонентам или доменам. При его использовании вам не понадобится настраивать nginx, samba или другие инструменты. После установки работой с конфигурационными файлами займется сам сервис. Он написан на python3 и требует для своей работы ряда библиотек (преимущественно поддержки протокола LDAP). Его работа в режиме веб-сервиса обеспечивается инструментарием flask.
Внимание: вы можете настроить взаимодействие сервиса авторизации WNAM с доменом как на том же сервере, где работает ПО WNAM, как и на любом другом соседнем Linux-сервере (отправьте запрос в техподдержку).
Необходимо установить следующий набор пакетов:
apt install python3-flask python3-dnspython python3-ldap3 python3-pyasn1 python3-pyasn1-modules python3-six python3-gssapi krb5-user libkrb5-dev python3-pycryptodome python3-apscheduler sudo winbind
Затем запросите и получите у нашей службы техподдержки интеграционный модуль, он поставляется в виде архива. Распакуйте:
mkdir -p /home/wnam/adctool/logs
tar zxvf adctool.tgz /home/wnam/adctool
chown -R wnam:wnam /home/wnam/adctool
Задайте права на нужные файлы:
cat > /etc/sudoers.d/wnam << SUDO
wnam ALL = NOPASSWD: /usr/bin/net
wnam ALL = NOPASSWD: /usr/bin/systemctl
SUDOchmod a+s /usr/bin/wbinfo
chmod a+s /usr/bin/ntlm_auth
chown wnam /etc/samba/smb.conf
Создайте systemd-скрипт для нового сервиса:
cat > /etc/systemd/system/adctool.service << EOF
[Unit]
Description="WNAM Active Directory tools service"
After=network.target[Service]
WorkingDirectory=/home/wnam/adctool
ExecStart=/usr/bin/flask run
Restart=on-failure
SuccessExitStatus=143
RestartSec=10
User=wnam
Group=wnam
StandardOutput=append:/home/wnam/adctool/logs/application.log
StandardError=append:/home/wnam/adctool/logs/console.log[Install]
WantedBy=multi-user.targetEOF
Посмотрите, и возможно отредактируйте конфигурационный файл /home/wnam/adctool/.flaskenv:
FLASK_APP=ad_tools.py
FLASK_RUN_HOST=0.0.0.0
FLASK_RUN_PORT=9080
FLASK_DEBUG=True
Посмотрите, и возможно отредактируйте конфигурационный файл /home/wnam/adctool/config.json:
{
"kcache_refresh": 3600,
"root_path": "/root/adctool"
}
Включите сервис, и запустите его
systemctl enable adctool
systemctl start adctool
Посмотрите в лог-файле /home/wnam/adctool/logs/console.log результат запуска сервиса, нет ли явных ошибок
Перейдите в административный интерфейс WNAM, в раздел "Конфигурация - Корпоративная авторизация - Службы Active Directory":
Затем нажмите на кнопку "Обновить список групп". При этом с заданными учетными данными контроллер будет запрошен на предмет всех групп домена. Внимание! Эта операция может занять минуту.
Вы получите полный список. Чекбоксами отметьте интересующие вас группы: только их можно будет указывать в профилях аутентификации.
Снова нажмите на "Сохранить".
На этом настройка закончена. Ваша система WNAM сможет общаться к контроллерам доменов, и использовать их для проведения EAP-PEAP/MSCHAPv2 авторизации абонентов вашей сети.