Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...


### создание отдельной привилегии для чтения атрибута хэша пароля 
ipa permission-add 'ipaNTHash service read' --attrs=ipaNTHash --type=user --right=read
ipa privilege-add 'Radius services' --desc='Privileges needed to allow radiusd servers to operate'
ipa privilege-add-permission 'Radius services' --permissions='ipaNTHash service read'
### создание отдельной роли RADIUS-сервера, и добавления ей этой привилегии
ipa role-add 'Radius server' --desc="Radius server role"
ipa role-add-privilege --privileges="Radius services" 'Radius server'
### создание сервиса в каталоге, которому будет позволено подключаться к каталогу
ipa service-add 'wnam/wnam16-astra.astradom.wnam.ru'

### добавляем роль сервису
ipa role-add-member "Radius server" --services=wnam/dc1.astra.homewnam16-astra.astradom.wnam.ru

Далее необходимо создать файл ldif.txt с командами, которые позволят задать сервису статический пароль (в примере - Qwerty123):

...

ldapmodify -f ldif.txt -D 'cn=Directory Manager' -W -H ldap://wnam16-astra.astradom.wnam.ru -Z

Создать пользователя тестового пользователя wifiastra и задать ему пароль (пригодные для работы хэши паролей будут храниться в каталоге только после применения ipa-adtrust-install, для старых пользователей пароли необходимо будет пересоздать)::

ipa user-add wifiastra --password --first wifiastra --last wifiastra

В ALD PRO пользователи автоматически создаются с просроченными паролями. Для проверки WNAM нужно войти под вновь созданным пользователем и сменить пароль.


2. Настройка системы WNAM

Для настройки подключения необходимо перейти в систему WNAM в раздел "Конфигурация" → "Службы каталогов" и нажать кнопку "Подключить новый домен FreeIPA":

Image Added

В открывшемся окне необходимо указать:

  • полное имя сервера каталога;
  • имя сервисной учётной записи;
  • пароль сервисной учётной записи.

В дальнейшем эти данные будут сохранены в /home/wnam/adctool/config.json. Пароли хранятся в шифрованном виде.

Image Added

По окончании настройки подключения будет отображен статус взаимодействия:

Image Added

При нажатии правой кнопкой мыши на строку можно выбрать и настроить группы:

Image Added

А также можно проверить авторизацию через LDAP для ранее созданного тестового пользователя:

Image Added

Image Added

Если проверки работают, то можно применять настроенное подключение к службе каталога FreeIPA в других настройках WNAM. Если возникли ошибки, то следует проверить файл /home/wnam/adctool/logs/console.log.