Предварительная настройка
- Добавить в Active Directory административного пользователя, которого будет использовать Eltex-NAICE для взаимодействия (подробнее о требованиях: v0.5_4.6 Управление источниками идентификации).
- Выполнить подключение сервера с Eltex-NAICE к Active Directory в соответствии с инструкцией: v0.5_4.6 Управление источниками идентификации.
- Настроить сетевое устройство на взаимодействие с Eltex-NAICE по протоколу RADIUS в соответствие с инструкцией производителя.
- Добавить сетевое устройство и его профиль в соответствие с инструкцией: v0.6_4.2 Управление сетевыми устройствами (аутентификаторами)
Создание источника идентификации
Открыть раздел "Администрирование" → "Управление идентификацией" → "Внешние источники идентификации" и нажать кнопку :
После сохранения перейдем в раздел "Группы" и добавить группы, которые предполагается использовать в политиках авторизации:
В данном примере добавляем группу "Гости".
Перейдем в раздел "Атрибуты" и добавим атрибут, значение которого будет использоваться для выдачи cVLAN. При получении списка доступных атрибутов требуется обязательно задать фильтр, в зависимости от которого могут отображаться разные атрибуты. Рекомендуется использовать фильтры: "distinguishedName=*", "objectClass=person", "givenName=<имя пользователя>" и т.п. Так же следует иметь ввиду, что атрибуты, для которых ни разу не задавалось значение, могут не отображаться. Для пользователя в приведенном ниже примере в поле "Описание" задано значение 1000, которое будет использоваться в качестве cVLAN:
И нажать кнопку "Сохранить".
Нажав справа от добавленного атрибута кнопку отредактируем поле "Имя" на другое, т.к. именно оно будет отображаться при работе с LDAP словарем на более понятное. "Тип" и "Внутреннее наименование" не меняются:
После этого сохраняем новое значение нажав кнопку справа от атрибута.
Создание цепочки идентификаций с использованием ранее созданного источника идентификации
Открыть раздел "Администрирование" → "Управление идентификацией" → "Цепочки идентификации" и нажать кнопку :
После создания цепочки идентификации с использованием ранее созданного источника нажать кнопку "Добавить".
Создание профиля авторизации с использованием ранее созданного атрибута
Открыть раздел "Политика" → "Элементы" → "Результаты" → "Профили авторизации" и нажать кнопку . В открывшемся окне, после выбора профиля сетевого устройства, в блоке "Общие задачи" включить галочку "VLAN", после этого нажать на кнопку выбора атрибута справа , выбрать словарь с именем ранее созданного источника идентификации:
В словаре выбрать ранее созданный атрибут "cVLAN":
И сохранить профиль авторизации нажав кнопку "Добавить":
Если в выбранном профиле сетевого устройства не включена возможность использовать VLAN, то чекбокс в профиле авторизации будет неактивен!
Настройка политик
В разделе "Политика" → "Наборы политик" добавим новую политику, в которой условием попадания под данную политику будет, например "NAS-IP-address" равно <IP-адресу устройства>.
Сохранить новую политику нажав кнопку "Сохранить" и перейти к настройке политик аутентификации и авторизации нажатием кнопки справа от добавленной политики.
Добавить политику аутентификации, которая использует созданную цепочку идентификаций (с использованием, например, одинакового условия с политикой):
Добавить политику авторизации, которая использует в качестве условия принадлежность пользователя к ранее созданной группе в источнике идентификации, а в качестве профиля авторизации - ранее созданный профиль:
И нажать кнопку "Сохранить".
Проверка подключения клиентом
Подключиться клиентом и после авторизации перейти в раздел "Мониторинг" → "RADIUS" → "Пользовательские сессии":
Для подробного просмотра можно в колонке "Подробнее" нажать кнопку :