В разделе "Авторизация" представлена функциональность настройки дополнительных методов авторизации в веб-интерфейс контроллера.

Данный раздел веб-интерфейса позволяет настроить серверы авторизации LDAP или TACACS+ для авторизации на контроллере при помощи внешних аккаунтов, настроенных на этих серверах авторизации.

Для перехода в раздел нажмите на вкладку бокового меню "Администрирование" и в открывшемся выпадающем списке выберите раздел "Авторизация".

На странице раздела "Авторизация" представлены:

  • блок "LDAP сервера";
  • блок "TACACS+ сервера";
  • кнопка "Сохранить изменения".

Настройка серверов авторизации производится следующим образом:

  • Для настройки серверов авторизации LDAP:
    • в поля "LDAP 1" - "LDAP 3" введите доменные адресы внешних серверов авторизации LDAP, к которым будет обращаться контроллер при авторизации пользователей, которых нет в списке локальных пользователей контроллера;
    • в поле "Имя группы пользователей с ролью администратора" введите настроенное на серверах LDAP имя группы, в которой находятся аккаунты пользователей, которые должны иметь повышенные привилегии (роль администратора) при доступе к веб-итерфейсу контроллера;
    • в поле "Имя группы пользователей с ролью оператора" введите настроенное на серверах LDAP имя группы, в которой находятся аккаунты пользователей, которые должны иметь ограниченные привилегии (роль оператора) при доступе к веб-итерфейсу контроллера;
  • Для настройки серверов авторизации TACACS+:
    • в поля "TACACS 1" и "TACACS 2" введите доменные или IP адресы внешних серверов авторизации TACAS+, к которым будет обращаться контроллер при авторизации пользователей, которых нет в списке локальных пользователей контроллера;
    • в поле "Ключ" введите ключ для аутентификации на заданных внешних серверах;

Убедитесь, что адреса серверов LDAP задаются в формате доменных имен (example.com), так как авторизация по LDAP не будет нормально работать при задании IP адресов серверов.

При настройке пользователей и групп пользователей на серверах авторизации для правильной работы разграничения пользователей на контроллере вам необходимо настроить передачу атрибутов в ответе на запрос авторизации. В ответе на запрос авторизации сервером должен передаваться атрибут с названием "role" и значением "ADMIN" или "OPERATOR" для применения к пользователю роли администратора или оператора соответственно.

После настройки серверов авторизации производить какие-то дополнительные настройки или добавлять аккаунты не требуется, и после сохранения настроек вы можете производить авторизацию на контроллере с использованием внешних LDAP или TACACS+ аккаунтов, настроенных на ваших серверах.

Для сохранения изменений, внесённых в настройки авторизации, нажмите кнопку "Сохранить изменения". При успешном сохранении изменений появится модальное окно "Изменения сохранены" с информацией о том, что данные успешно записаны. Для закрытия модального окна нажмите кнопку "Вернуться" или "". Если при сохранении изменений были допущены ошибки, то при нажатии на кнопку "Сохранить изменения" система проинформирует Вас об этом, выделив пустые поля цветом.

  • No labels