Система WNAM 2 в связке с adctool поддерживает взаимодействие со службой каталога FreeIPA для следующих целей:

  • Авторизация RADIUS-пользователей по PAP EAP_PEAP с проверкой пароля (NT Hash).
  • Авторизация RADIUS-пользователей по PAP, EAP_PEAP и EAP_TLS  с проверкой членства пользователя (Identity) в доменной группе (группе каталога).
  • Авторизация TACACS+ пользователей/администраторов сетевого оборудования.

Взаимодействие протестировано с сервером службы каталога FreeIPA версии 4.8.10, работающим под управлением ОС Astra Linux 1.7.3 "Смоленск". В отличии от интеграции с Microsoft Active Directory, где не требуются дополнительные настройки самого домена/контроллера домена, для FreeIPA необходимо будет выполнить определенные действия на главном сервере службы каталога.

В приведенном ниже примере используются следующие наименования:

1. Настройка каталога

Необходимо зайти в консоль контроллера с правами администратора - root (либо выполнить команды через sudo).

### компоненты для модификации схемы каталога и добавлении нужных атрибутов
apt install freeipa-server-trust-ad 
ipa-adtrust-install --add-sids 
### создание отдельной привилегии для чтения атрибута хэша пароля 
ipa permission-add 'ipaNTHash service read' --attrs=ipaNTHash --type=user --right=read
ipa privilege-add 'Radius services' --desc='Privileges needed to allow radiusd servers to operate'
ipa privilege-add-permission 'Radius services' --permissions='ipaNTHash service read'
### создание отдельной роли RADIUS-сервера, и добавления ей этой привилегии
ipa role-add 'Radius server' --desc="Radius server role"
ipa role-add-privilege --privileges="Radius services" 'Radius server'
### создание сервиса в каталоге, которому будет позволено подключаться к каталогу
ipa service-add 'wnam/wnam16-astra.astradom.wnam.ru'

Далее необходимо создать файл ldif.txt с командами, которые позволят задать сервису статический пароль (в примере - Qwerty123):

dn: krbprincipalname=wnam/wnam16-astra.astradom.wnam.ru@ASTRADOM.WNAM.RU,cn=services,cn=accounts,dc=astradom,dc=wnam,dc=ru
changetype: modify
add: objectClass
objectClass: simpleSecurityObject
-
add: userPassword
userPassword: Qwerty123

Применить команду к каталогу:

ldapmodify -f ldif.txt -D 'cn=Directory Manager' -W -H ldap://wnam16-astra.astradom.wnam.ru -Z

Создать пользователя wifiastra и задать ему пароль (пригодные для работы хэши паролей будут храниться в каталоге только после применения ipa-adtrust-install, для старых пользователей пароли необходимо будет пересоздать):

В веб-интерфейсе FreeIPA необходимо добавьте Роль "Radius server" службе wnam/wnam16-astra.astradom.wnam.ru :


2. Настройка системы WNAM

Для настройки подключения необходимо перейти в систему WNAM 2 в раздел "Объекты" → "Службы каталогов" и нажать кнопку "Подключить новый домен FreeIPA":

В открывшемся окне необходимо указать:

  • полное имя сервера каталога;
  • имя сервисной учётной записи;
  • пароль сервисной учётной записи.

В дальнейшем эти данные будут сохранены в /home/wnam/adctool/config.json. Пароли хранятся в шифрованном виде.

По окончании настройки подключения будет отображен статус взаимодействия:

При нажатии на контекстное меню в таблице служб каталога можно выбрать и настроить группы:

А также можно проверить авторизацию через LDAP для ранее созданного тестового пользователя:

Если проверки работают, то можно применять настроенное подключение к службе каталога FreeIPA в других настройках WNAM 2. 

  • No labels