Eltex Documentation
Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

Предварительная настройка

  1. Установить OpenLDAP, произвести его базовое конфигурирование, добавить пользователей и группы пользователей в соответствии с предпочитаемой схемой.
  2. Настроить сетевое устройство на взаимодействие с Eltex-NAICE по протоколу RADIUS в соответствие с инструкцией производителя.
  3. Добавить сетевое устройство и его профиль в соответствие с инструкцией: v0.5_4.2 Управление сетевыми устройствами (аутентификаторами).
  4. Обеспечить возможность сетевого взаимодействия Eltex-NAICE с сервером LDAP по порту TCP 389 (стандартный порт сервиса LDAP).


Создание источника идентификации

В отличие от MS Active Directory, в случае с OpenLDAP существует большая вариативность в схемах каталога. Для поддержки схемы конкретного экземпляра LDAP необходимо указать атрибуты, которые отвечают за определение групп, пользователей и связи между ними.

Глобально связь пользователей и групп может быть определена одним из двух вариантов:

  • Объект пользователя содержит атрибут, в котором указаны группы пользователя (Схема "Пользователи содержат группы");
  • В объекте группы содержится атрибут, в котором перечислены члены группы (Схема "Группы содержат пользователей").

Рассмотрим примеры настройки для обоих вариантов при следующей структуре каталога:

Для добавления внешнего источника идентификации необходимо открыть раздел "Администрирование""Управление идентификацией""Внешние источники идентификации" и нажать кнопку над таблицей.

Настройка схемы

Схема "Пользователи содержат группы"

Примем, что пользователь и группы содержат следующие атрибуты:

Объект пользователя (пример)Объект группы (пример)

В таком случае настройка схемы внешнего источника может выглядеть следующим образом:

  • Выберите схему = CUSTOM - схема, позволяющая гибко настроить описание классов объектов каталога LDAP и их атрибутов;
  • Subject object class - класс объекта, соответствующий пользователю. Все объекты данного класса будут рассматриваться Eltex-NAICE как пользователи.
  • Subject name attribute - атрибут объекта класса, который содержит имя пользователя. Значение этого атрибута будет использоваться в качестве логина пользователя при авторизации.
  • Group object class - класс объекта, соответствующий группе пользователей. Все объекты данного класса будут рассматриваться Eltex-NAICE как группы.
  • Group name attribute - атрибут объекта класса, который содержит имя группы. Значение этого атрибута будет использоваться в качестве имени группы при их выгрузке и использовании в сравнении группы пользователя в логическом условии.
  • Group map attribute - атрибут пользователя, в котором перечислены группы, членом которых он является. Группы должны быть перечислены в формате значения одного из атрибутов группы.
  • Subject in group attribute - определяет атрибут, в формате которого перечислены группы в атрибуте Group map attribute.


В версии 0.5 в качестве Subject in group attribute поддержан только атрибут dn !

В связи с этим в приведенном выше примере не заработает настройка Group map attribute = gidNumber, Subject in group attribute = gidNumber. Поддержка планируется в версии 0.6.


Схема "Группы содержат пользователей"

Примем, что пользователь и группы содержат следующие атрибуты:

Объект пользователя (пример)Объект группы (пример)

В таком случае настройка схемы внешнего источника может выглядеть следующим образом:

  • Выберите схему = CUSTOM - схема, позволяющая гибко настроить описание классов объектов каталога LDAP и их атрибутов;
  • Subject object class - класс объекта, соответствующий пользователю. Все объекты данного класса будут рассматриваться Eltex-NAICE как пользователи.
  • Subject name attribute - атрибут объекта класса, который содержит имя пользователя. Значение этого атрибута будет использоваться в качестве логина пользователя при авторизации.
  • Group object class - класс объекта, соответствующий группе пользователей. Все объекты данного класса будут рассматриваться Eltex-NAICE как группы.
  • Group name attribute - атрибут объекта класса, который содержит имя группы. Значение этого атрибута будет использоваться в качестве имени группы при их выгрузке и использовании в сравнении группы пользователя в логическом условии.
  • Group map attribute - атрибут группы, в котором перечислены пользователи, которые являются членом группы. Пользователи должны быть перечислены в формате значения одного из атрибутов пользователя.
  • Subject in group attribute - определяет атрибут, в формате которого перечислены пользователи в атрибуте Group map attribute.


Настройка и проверка подключения

Пример настроек блоков настроек "Подключение" и "Структура каталога" для описанной структуры каталога:


  • "Admin dn" * - данные административного пользователя для взаимодействия с LDAP (в формате "cn=admin,dc=example,dc=com" ).
  • "Admin password" * - пароль административного пользователя. По умолчанию не отображается, для просмотра требуется нажать .
  • "Url" * - IP-адрес или доменное имя сервера LDAP.
  • "Port" * - порт подключения (как правило используется 389).
  • "Subject search base" * - структура для поиска пользователей в домене (имеет формат вида: dc=example,dc=org).
  • "Group search base" * - структура для поиска групп в домене (имеет формат вида: dc=example,dc=org).

"Subject search base" и "Group search base" могут совпадать и даже принимать значение корневого каталога, однако для уменьшения количества и объема запросов выгрузки данных рекомендуется указывать как можно более близкий к конечному каталогу путь.


После ввода указанных параметров можно провести проверку связи с сервером. Во время проверки связи из LDAP, помимо проверки доступности службы каталогов, высчитывается количество пользователей и групп.

В случае успешной проверки результат будет выглядеть следующим образом:

При проверке соединения запрашивается не более 5 предметов и групп, чтобы не вызывать лишнюю нагрузку на сервер. Поэтому если реальных пользователей или групп больше, то будет все равно показано число "5" - это не свидетельствует о проблеме.

Для перехода к следующему этапу настройки необходимо нажать , а затем .


Добавление групп пользователей

Добавление групп пользователей не является обязательным, однако позволит более гибко конфигурировать условия попадания сессии под политики аутентификации и авторизации.

Для добавления групп пользователей необходимо нажать кнопку над таблицей, и в появившемся списке выбрать опцию "Выбрать группы из службы каталогов".

В появишемся окне можно по определенному запросу вычитать группы из службы каталогов и добавить все или некоторые из них в систему. После выбора групп для добавления нажмите "Сохранить", и они добавятся в список групп этого источника идентификации:

Для перехода к следующему этапу настройки необходимо нажать .


Добавление атрибутов

Добавление атрибутов в источник не является обязательным, однако позволит назначать в качестве VLAN и ACL пользователю параметры пользователя из LDAP.

Для добавления групп пользователей необходимо нажать кнопку над таблицей, и в появившемся списке выбрать опцию "Выбор атрибутов из службы каталогов".

В появившемся окне можно по определенному запросу вычитать атрибуты объектов из службы каталогов и добавить все или некоторые из них в систему. После выбора групп для добавления нажмите "Сохранить", и они добавятся в список атрибутов этого источника идентификации.

Для выгруженных атрибутов для удобства можно задать собственное имя в системе Eltex-NAICE, которое в дальнейшем будет отображаться при выборе этого атрибута при настройке, например, логического условия. Для перехода в режим редактирования необходимо нажать на , для завершения редактирования и сохранения атрибута - .

Значение по умолчанию будет использоваться для объектов, у которых нет данного атрибута. Если значение по умолчанию не указано, то объекты без этого атрибута будут игнорироваться.



Создание цепочки идентификации с использованием ранее созданного источника идентификации

Открыть раздел "Администрирование""Управление идентификацией""Цепочки идентификации" и нажать кнопку над таблицей:

После создания цепочки идентификации с использованием ранее созданного источника нажать кнопку "Добавить".


Создание профиля авторизации с использованием ранее созданного атрибута

Открыть раздел "Политика" → "Элементы" → "Результаты" → "Профили авторизации" и нажать кнопку  над таблицей. В открывшемся окне, после выбора профиля сетевого устройства, в блоке "Общие задачи" включить галочку "VLAN", после этого нажать на кнопку выбора атрибута справа , выбрать словарь с именем ранее созданного источника идентификации, затем - ранее созданный атрибут.

Если в выбранном профиле сетевого устройства не включена возможность использовать VLAN, то чекбокс в профиле авторизации будет неактивен!


Настройка набора политик

В разделе "Политика" →  "Наборы политик" добавим новую политику, в которой условием попадания под данную политику будет, например, "NAS-IP-Address" равно <IP-адрес устройства>. 

Сохранить новую политику нажав и перейти к настройке политик аутентификации и авторизации нажатием кнопки справа от добавленной политики.

Добавить правило в политику аутентификации, которое использует созданную цепочку идентификаций (с использованием, например, признака типа подключения):

Добавить политику авторизации, которая использует в качестве условия принадлежность пользователя к ранее созданной группе в источнике идентификации или равенство определенного атрибута, а в качестве профиля авторизации - ранее созданный профиль:

И нажать .



Проверка успешности подключения клиента

Подключиться клиентом и после авторизации перейти в раздел "Мониторинг""RADIUS""Пользовательские сессии":

Для подробно просмотра можно в колонке "Подробнее" нажать кнопку :


  • Нет меток