В разделе "Авторизация" представлена информация о параметрах авторизации с возможностью их корректировки.
Данный раздел веб-интерфейса позволяет:
...
представлена функциональность настройки дополнительных методов авторизации через LDAP или TACACS+ в веб-интерфейсе контроллера.
Для перехода в раздел нажмите на вкладку бокового нажмите на вкладку бокового меню "Администрирование" и в открывшемся выпадающем списке выберите раздел "Авторизация".
Данный раздел веб-интерфейса позволяет настроить серверы авторизации LDAP или TACACS+ для авторизации в веб-интерфейсе контроллера при помощи внешних аккаунтов, настроенных на этих серверах авторизации.
На странице раздела "Авторизация" представлены :
- блок "LDAP сервера";
- блок "TACACS+ сервера";
- кнопка "Сохранить изменения".
блоки настроек "LDAP сервера" и "TACACS+ сервера".
Настройка серверов авторизации производится следующим образом:
- Для настройки серверов авторизации LDAP:
- в поля "LDAP 1" - "LDAP 3" введите доменные адресы внешних серверов авторизации LDAP, к которым будет обращаться контроллер при авторизации пользователей, которых нет в списке локальных пользователей контроллера;
- в поле "Имя группы пользователей с ролью администратора" введите настроенное на серверах LDAP имя группы, в которой находятся аккаунты пользователей, которые должны иметь повышенные привилегии (роль администратора) при доступе к веб-итерфейсу контроллера;
- в поле "Имя группы пользователей с ролью оператора" введите настроенное на серверах LDAP имя группы, в которой находятся аккаунты пользователей, которые должны иметь ограниченные привилегии (роль оператора) при доступе к веб-итерфейсу контроллера;
- Для настройки серверов авторизации TACACS+:
- в поля "TACACS 1" и "TACACS 2" введите доменные или IP адресы внешних серверов авторизации TACAS+, к которым будет обращаться контроллер при авторизации пользователей, которых нет в списке локальных пользователей контроллера;
- в поле "Ключ" введите ключ для аутентификации на заданных внешних серверах;
| Note |
|---|
Убедитесь, что адреса серверов LDAP задаются в формате доменных имен (example.com), так как авторизация по LDAP не будет нормально работать при задании IP адресов серверов |
...
. |
Для сохранения изменений, внесённых в настройки авторизации, нажмите кнопку "Сохранить изменения". При успешном сохранении изменений появится модальное окно "Изменения сохранены" с информацией о том, что данные успешно записаны. Для закрытия модального окна нажмите кнопку "Вернуться" или "
". об успешном выполнении операции.
Если при сохранении изменений были допущены ошибки, то при нажатии на кнопку "Сохранить изменения" система проинформирует Вас об этом, выделив пустые выделив такие поля красным цветом.
Настройка серверов авторизации LDAP или TACACS+
При настройке пользователей и групп пользователей на серверах авторизации для правильной работы разграничения пользователей на контроллере вам необходимо настроить передачу атрибутов в ответе на запрос авторизации. В ответе на запрос авторизации сервером должен передаваться атрибут с названием "role" и значением "ADMIN" или "OPERATOR" для применения к пользователю роли администратора или оператора соответственно.
После настройки серверов авторизации производить какие-то дополнительные настройки или добавлять аккаунты на контроллере не требуется, и после задания серверов в настройках контроллера вы можете производить авторизацию на контроллере с использованием внешних LDAP или TACACS+ аккаунтов, настроенных на ваших серверах.
При авторизации в веб-интерфейсе контроллер проверяет, существует ли введенный пользователь в базе данных локальных пользователей контроллера, и если пользователь с таким логином не найден, то выполняет попытку авторизации сначала на внешних серверах LDAP, а затем на внешних серверах TACACS+.