Download PDF
Download page Добавление домена аутентификации RADIUS.
Добавление домена аутентификации RADIUS
Добавление домена аутентификации RADIUS
Для добавления домена аутентификации RADIUS необходимо включить экспериментальный параметр experimental.radiusauth.enabled
в соответствии с подразделом Управление экспериментальными параметрами Termidesk.
После включения экспериментального параметра администратору Termidesk следует перейти «Компоненты - Домены аутентификации», затем нажать экранную кнопку [Создать] и выбрать из выпадающего списка «Radius».
Затем необходимо заполнить данные, перечисленные в столбце «Параметр» следующей таблицы.
Параметр | Описание |
---|---|
«Название» | Текстовое наименование домена аутентификации |
«Комментарий» | Информационное сообщение, используемое для описания назначения источника сведений о субъектах и их полномочиях |
«Приоритет» | Преимущество использования домена аутентификации при проверке субъекта и его полномочий |
«Метка» | Информационное поле, используемое для идентификации объекта во внутренней структуре данных Termidesk. Начиная с Termidesk версии 5.1 поле может состоять из букв латинского алфавита, цифр, знаков «-» (дефис) и «_» (подчеркивание) |
«Radius сервер» | IP-адрес или доменное имя ресурса, являющегося источником сведений о субъектах и их полномочиях (сервер RADIUS) |
«Аутентификационный порт» | Порт для обработки запросов на аутентификацию |
«Секрет» | Набор символов (пароль), подтверждающий подключение к серверу RADIUS |
«Таймаут» | Максимальное время ожидания (в секундах) для установки соединения |
Валидация заданных параметров экранной кнопкой [Тест] проверяет корректность заданного имени сервера (возможность получить IP-адрес, используя DNS), доступность сервера (корректный порт, работоспособность сервера RADIUS).
После добавления домена аутентификации RADIUS необходимо перейти в созданный объект и указать актуальный список групп, пользователи которых могут производить вход в Termidesk.
При дальнейшей эксплуатации сервер Termidesk, обрабатывая запрос на аутентификацию, получает актуальный список групп пользователя и сравнивает со своей конфигурацией. Если ни одного совпадения не обнаружено, то пользователю будет отказано в доступе.
Конфигурация сервера RADIUS должна учитывать передачу списка групп пользователя в атрибуте с ключом 25 (Class) в ответе со статусом авторизации.
Для корректного получения списка групп на Termidesk сервер RADIUS может быть настроен следующим образом:
Пример настройки приведен для сервера freeRADIUS.
- файл
/etc/freeradius/3.0/mods-enabled/ldap
должен содержать конструкцию вида:
ldap {
...
update {
...
reply:memberOf += 'memberOf'
}
...
}
- в файл
/etc/freeradius/3.0/dictionary
необходимо добавить строку:
ATTRIBUTE memberOf 3001 string
- в файле
/etc/freeradius/3.0/sites-enabled/default
необходимо найти секциюpost-auth
и добавить регулярное выражение, фильтрующее название группы из получаемых от сервера атрибутов:
foreach &reply:memberOf {
if ("%{Foreach-Variable-0}" =~ /CN=([^,=]+)/) {
update reply { Class += "%{1}" }
}
- в файле
/etc/freeradius/3.0/mods-enabled/exec
указать для параметраwait
значениеyes
:
wait = yes