...
### создание отдельной привилегии для чтения атрибута хэша пароляipa permission-add 'ipaNTHash service read' --attrs=ipaNTHash --type=user --right=read
ipa privilege-add 'Radius services' --desc='Privileges needed to allow radiusd servers to operate'
ipa privilege-add-permission 'Radius services' --permissions='ipaNTHash service read'### создание отдельной роли RADIUS-сервера, и добавления ей этой привилегииipa role-add 'Radius server' --desc="Radius server role"
ipa role-add-privilege --privileges="Radius services" 'Radius server'### создание сервиса в каталоге, которому будет позволено подключаться к каталогуipa service-add 'wnam/wnam16-astra.astradom.wnam.ru'
### добавляем роль сервису
ipa role-add-member "Radius server" --services=wnam/dc1.astra.homewnam16-astra.astradom.wnam.ru
Далее необходимо создать файл ldif.txt с командами, которые позволят задать сервису статический пароль (в примере - Qwerty123):
...
ldapmodify -f ldif.txt -D 'cn=Directory Manager' -W -H ldap://wnam16-astra.astradom.wnam.ru -Z
Создать пользователя тестового пользователя wifiastra и задать ему пароль (пригодные для работы хэши паролей будут храниться в каталоге только после применения ipa-adtrust-install, для старых пользователей пароли необходимо будет пересоздать)::
ipa user-add wifiastra --password --first wifiastra --last wifiastra
В ALD PRO пользователи автоматически создаются с просроченными паролями. Для проверки WNAM нужно войти под вновь созданным пользователем и сменить пароль.
2. Настройка системы WNAM
Для настройки подключения необходимо перейти в систему WNAM в раздел "Конфигурация" → "Службы каталогов" и нажать кнопку "Подключить новый домен FreeIPA":
В открывшемся окне необходимо указать:
- полное имя сервера каталога;
- имя сервисной учётной записи;
- пароль сервисной учётной записи.
В дальнейшем эти данные будут сохранены в /home/wnam/adctool/config.json. Пароли хранятся в шифрованном виде.
По окончании настройки подключения будет отображен статус взаимодействия:
При нажатии правой кнопкой мыши на строку можно выбрать и настроить группы:
А также можно проверить авторизацию через LDAP для ранее созданного тестового пользователя:
Если проверки работают, то можно применять настроенное подключение к службе каталога FreeIPA в других настройках WNAM. Если возникли ошибки, то следует проверить файл /home/wnam/adctool/logs/console.log.