Начиная с версии 1.6.3209М системы WNAM в связке с adctool поддерживает взаимодействие со службой каталога ALD PRO для следующих целей:
- Авторизация RADIUS-пользователей по PAP EAP_PEAP с проверкой пароля (NT Hash).
- Авторизация RADIUS-пользователей по PAP, EAP_PEAP и EAP_TLS с проверкой членства пользователя (Identity) в доменной группе (группе каталога).
- Авторизация TACACS+ пользователей/администраторов сетевого оборудования.
- Авторизация администраторов пользователей веб-интерфейса WNAM.
Взаимодействие протестировано с сервером службы каталога ALD PRO версии 2.0, работающим под управлением ОС Astra Linux 1.7.5 "Смоленск". В отличии от интеграции с Microsoft Active Directory, где не требуются дополнительные настройки самого домена/контроллера домена, для ALD PRO необходимо будет выполнить определенные действия на главном сервере службы каталога.
В приведенном ниже примере используются следующие наименования:
- имя домена (каталога): astradom.wnam.ru;
- имя контроллера домена (каталога): wnam16-astra.astradom.wnam.ru;
- имя сервера, на котором установлен adctool: wnam-15.astradom.wnam.ru;
1. Настройка каталога
Необходимо зайти в консоль контроллера с правами администратора - root (либо выполнить команды через sudo).
### создание отдельной привилегии для чтения атрибута хэша пароляipa permission-add 'ipaNTHash service read' --attrs=ipaNTHash --type=user --right=read
ipa privilege-add 'Radius services' --desc='Privileges needed to allow radiusd servers to operate'
ipa privilege-add-permission 'Radius services' --permissions='ipaNTHash service read'### создание отдельной роли RADIUS-сервера, и добавления ей этой привилегииipa role-add 'Radius server' --desc="Radius server role"
ipa role-add-privilege --privileges="Radius services" 'Radius server'### создание сервиса в каталоге, которому будет позволено подключаться к каталогуipa service-add 'wnam/wnam16-astra.astradom.wnam.ru'
### добавляем роль сервису
ipa role-add-member "Radius server" --services=wnam/wnam16-astra.astradom.wnam.ru
Далее необходимо создать файл ldif.txt с командами, которые позволят задать сервису статический пароль (в примере - Qwerty123):
dn: krbprincipalname=wnam/wnam16-astra.astradom.wnam.ru@ASTRADOM.WNAM.RU,cn=services,cn=accounts,dc=astradom,dc=wnam,dc=ru
changetype: modify
add: objectClass
objectClass: simpleSecurityObject
-
add: userPassword
userPassword: Qwerty123
Применить команду к каталогу:
ldapmodify -f ldif.txt -D 'cn=Directory Manager' -W -H ldap://wnam16-astra.astradom.wnam.ru -Z
Создать тестового пользователя wifiastra и задать ему пароль:
ipa user-add wifiastra --password --first wifiastra --last wifiastra
В ALD PRO пользователи автоматически создаются с просроченными паролями. Для проверки WNAM нужно войти под вновь созданным пользователем и сменить пароль.