v0.5_4.6 Управление источниками идентификации

Описание

В качестве источника данных, используемого для аутентификации пользователей может использоваться внутренний список клиентов (их настройка рассматривается v0.5_4.4 Управление пользователями (супликантами)) и подключение в внешнему источнику идентификации данных о клиентах Active Directory или LDAP. 

Управление внешними источниками идентификации выполняется в меню "Администрирование" → "Управление идентификацией" → "Внешние источники идентификации".

Включение источников в список выполняется на странице  "Администрирование" → "Управление идентификацией" → "Цепочки идентификаций".

Раздел "Внешние источники идентификации"

Просмотр внешних источников идентификации

На данной странице содержится таблица со списком внешних источников идентификации. 

Таблица содержит колонки:

• "Наименование" -  наименование источника.
• "Тип источника - тип источника.
• "Описание" - произвольное описание пользователя.

Возможна сортировка в прямом и обратном порядке по колонкам "Наименование", "Описание". По умолчанию сортировка выполняется в прямом (алфавитном,) порядке по полю "Наименование".

Элементы управления:

 - выполняется регистронезависимая фильтрация по всем колонкам "Наименование" и "Описание": отображаются только записи, удовлетворяющие условию фильтрации.

- обновить данные таблицы.

- счетчик выбранных чекбоксом элементов / общего количества элементов.

- добавить источник идентификации.

 - удалить выбранные чекбоксом источники идентификации (неактивно, пока не выбран хоть один источник).

- изменить текущий порядок сортировки.

 - чекбокс, который отвечает за выбор источников идентификации для выполнения дальнейших действий (например, удаления).

Добавление источника идентификации

Добавление источника идентификации типа Active Directory

Требования

В Aсtive Directory должен быть заведен пользователь для взаимодействия с Eltex-NAICE, имеющий права:

• Выполнять поиск в Active Directory
• Добавлять и удалять учетную запись компьютера в Active Directory
• Задавать атрибуты учетной записи компьютера
• Изменять пароль
• Получать информацию о всех пользователях и компьютерах домена
• Получать информацию об атрибутах токенов
• Данный пользователь должен быть добавлен в системные группы "Пользователи домена", "Администраторы" и "Пользователи"

DNS-сервер, который будет использоваться хостом с установленным Eltex-NAICE должен обеспечивать:

• Разрешать все прямые и обратные запросы для домена, в котором будет работать Eltex-NAICE
• Отвечать на все SRV запросы для DC, GCs и KDCs

Обращение Eltex-NAICE к Active Directory выполняется по портам:

Настройка подключения

В плейбуке Ansible в файле "ansible/group_vars/all.yml" необходимо отредактировать параметры:

# Указать IP адрес сервера "Active Directory":
radius_ms_ad_ip: '172.16.4.115'

# Указать логин подключения к серверу:
radius_kerberos_ad_user_login: 'fill_login'

# Указать пароль подключения к серверу:
radius_kerberos_ad_user_password: 'fill_password'

# Все доменный имена указывать заглавными буквами!
# Указать домен рабочей группы, в которой будет происходить авторизация:
radius_kerberos_workgroup: 'WS'

# Указать полностью домен:
radius_kerberos_kdc: 'WS.LOC'

# Указать полный адресс сервера Microsoft Active Directory {имя MS Windows Server}.{Домен MS AD} например LABMS - имя сервера, WS.LOC домен MS AD
radius_kerberos_admin_server: 'LABMS.WS.LOC'

После этого выполнить плейбук со специальным ключом "--tags="use-ms-ad"":

ansible-playbook --ask-become-pass common-freeradius.yml --tags="use-ms-ad"

После выполнения плейбука необходимо убедиться, что сервер с Eltex NAICE появился в списке "Computers" "Active Directory":

На сервере с Eltex-NAICE для проверки корректности включения в "Active Directory" можно выполнить команду:

sudo net ads testjoin -U <логин подключения к серверу>
Join is OK

Добавление источника идентификации

Для добавления источника идентификации нажмите в правой части поля над таблицей, откроется следующая страница:

В данной форме представлены следующие параметры:

• Блок "Основные настройки":
  • "Наименование" * - наименование источника идентификации.
  • "Описание" - описание.
• Блок "Схема":
  • "Выберите схему" * - схема атрибутов источника идентификации. По умолчанию выбрана "ACTIVE_DIRECTORY", для данной схемы значение атрибутов предустановлено и не может быть изменено.
• Блок "Подключение":
  • "Admin dn" * - данные административного пользователя для взаимодействия с Active Directory (в формате <пользователь>@<домен> ).
  • "Admin password" * - пароль административного пользователя. По умолчанию не отображается, для просмотра требуется нажать .
  • "Url" * - IP-адрес или доменное имя сервера Active Directory.
  • "Port" * - порт подключения (как правило используется TCP:389).
  • "Проверить связь с сервером" - проверить связь с сервером Active Directory.
• Блок "Структура каталогов":
  • "Subject search base" * - структура для поиска предметов в домене (имеет формат вида: dc=example,dc=org).
  • "Group search base" * - структура для поиска групп в домене (имеет формат вида: dc=example,dc=org).

* - поля, обязательные для заполнения.

После заполнения всех необходимых данных станет активна кнопка "Добавить" и "Проверить связь с сервером".

Кнопка "Добавить" становится активной при условии добавления всех параметров и не зависит от успешности проверки связи с сервером.

При успешной проверки связи с сервером появится сообщение вида:

Добавление групп пользователей

После добавления источника идентификации кнопка "Добавить" примет значение "Далее". Так же можно выполнить переход нажав на надпись , откроется страница:

Таблица содержит колонки:

• "Имя" - имя группы

Элементы управления:

- добавить группу.

 - удалить выбранные чекбоксом группы (неактивно, пока не выбран хоть одна группа).

 - редактировать группу (не отображается, пока не добавлена хотя бы одна группа).

 - сохранить группу после редактирования (не отображается, пока не начато редактирование группы).

После нажатия на кнопку  откроется меню:

• "Добавить новую группу" - создать произвольную новую группу.
• "Выбрать группы из службы каталогов" - добавить группы из источника идентификации.

Добавить новую группу

В данном окне представлен следующий параметр:

• "Имя" * - произвольное имя группы.

* - поля, обязательные для заполнения.

После заполнения имени группы станет активна кнопка "Добавить". Требуется нажать её для добавления группы.

Выбрать группы из службы каталогов

В данном окне представлен следующие параметры:

• "Фильтр" * - фильтр для поиска групп, по умолчанию "*", можно ввести название группы.
• "Получить данные" - получить данные с учетом фильтра

После получения данных по группам:

Требуется выбрать чекбоксом слева требуемые группы и нажать кнопку "Сохранить".

Добавление атрибутов

После добавления групп можно нажать кнопку "Далее" внизу справа экрана. Так же можно выполнить переход нажав на надпись , откроется страница:

Таблица содержит колонки:

• "Имя" - имя атрибута, которое будет отображаться в словаре LDAP и использоваться при настройке логических условий и профилей авторизации. Можно указать произвольное, для удобства использования.
• "Тип" - тип атрибута, возможные значения: "INTEGER" - числовой, "IP_4_ADDR" - адрес IPv4, "STRING" - строковый. 
• "Внутренне наименование" - наименование атрибута в схеме Active Directory.
• "Значение по умолчанию" - значение атрибута, которое будет использоваться, если оно не получено от Active Directory.

Элементы управления:

- добавить атрибуты.

 - удалить выбранные чекбоксом атрибуты (неактивно, пока не выбран хоть один атрибут).

 - редактировать группу (не отображается, пока не добавлена хотя бы одна группа).

 - сохранить группу после редактирования (не отображается, пока не начато редактирование группы).

После нажатия на кнопку  откроется меню:

• "Добавить новый атрибут" - создать произвольный новый атрибут.
• "Выбрать атрибут из службы каталогов" - добавить атрибут из источника идентификации.

Добавить новый атрибут

В данном окне представлены следующие параметры:

• "Имя" * - произвольное имя атрибута, которое будет отображаться в словаре.
• "Внутреннее наименование" * - имя атрибута из источника идентификации.
• "Тип" * - тип атрибута. Возможные значения: "INTEGER" - числовой, "IP_4_ADDR" - адрес IPv4, "STRING" - строковый. По умолчанию выбран тип "STRING".

* - поля, обязательные для заполнения.

После заполнения необходимых параметров станет активна кнопка "Добавить". Требуется нажать её для добавления атрибута.

Выбрать атрибут из службы каталогов

В данном окне представлен следующие параметры:

• "Фильтр" * - фильтр для поиска атрибутов, по умолчанию "distinguishedName=*". В качестве фильтра можно использовать выражения "<Атрибут>=<значение>", если значение не важно надо указать "*". Если у атрибута есть несколько значений - отображается только первое найденное.

  Как правило дополнительные атрибуты пользователя добавляются после того как им будут заданы значения и до этого их вычитать нельзя.

• "Получить данные" - получить данные с учетом фильтра.

После получения данных по атрибутам:

Требуется выбрать чекбоксом слева требуемые атрибуты и нажать кнопку "Сохранить".

Ограничения реализации

Есть следующие ограничения реализации взаимодействия с Active Directory:

• Возможно использовать пользователей, их атрибуты и группы только в рамках определенного домена.
• Имя пользователя на клиентском устройстве требуется вводить без домена.
• В именах пользователей и их паролях допускаются только латинские символы, цифры, знаки препинания.
• Возможна авторизация только с использованием протокола MS-CHAPv2 или EAP-MS-CHAPv2.

Добавление источника идентификации типа Custom

Данный тип источника идентификации предназначен для интеграции с LDAP сервером, который может иметь произвольную схему.

Добавление источника идентификации

Для добавления источника идентификации нажмите в правой части поля над таблицей, откроется следующая страница, на которой надо будет выбрать схему "CUSTOM":

В данной форме представлены следующие параметры:

• Блок "Основные настройки":
  • "Наименование" * - наименование источника идентификации.
  • "Описание" - описание.
• Блок "Схема":
  • "Выберите схему" * - схема атрибутов источника идентификации. По умолчанию выбрана "ACTIVE_DIRECTORY"требуется сменить на "CUSTOM", что бы выбор значений атрибутов схемы стал доступным.
  • "Subject object class" * - атрибут определяющий класс пользователей.
  • "Subject name attribute" * -  атрибут определяющий имя пользователя, которое он будет использовать в качестве логина на клиентском устройстве.
  • "Group name attribute" * - атрибут определяющий имя группы пользователя.
  • "Group object class" * - атрибут определяющий класс групп.
  • "Group map attribute" * - атрибут определяющий принадлежность к группе.
  • "Subject in group attribute" - атрибут, значение которого используется в значении атрибута "Group map attribute" при проверке принадлежности пользователя группе.
  • "Группы содержат пользователей" * - выберите, если атрибут принадлежности пользователя к группе находится в атрибутах группы.
  • "Пользователи содержат группы" * - выберите, если атрибут принадлежности пользователя к группе находится в атрибутах пользователя.
• Блок "Подключение":
  • "Admin dn" * - данные административного пользователя для взаимодействия с LDAP (в формате "cn=admin,dc=example,dc=org" ).
  • "Admin password" * - пароль административного пользователя. По умолчанию не отображается, для просмотра требуется нажать .
  • "Url" * - IP-адрес или доменное имя сервера LDAP.
  • "Port" * - порт подключения (как правило используется 389).
• Блок "Структура каталога":
  • "Subject search base" * - структура для поиска предметов в домене (имеет формат вида: dc=example,dc=org).
  • "Group search base" * - структура для поиска групп в домене (имеет формат вида: dc=example,dc=org).

* - поля, обязательные для заполнения.

После заполнения всех необходимых данных станет активна кнопка "Добавить" и "Проверить связь с сервером".

Кнопка "Добавить" становится активной при условии добавления всех параметров и не зависит от успешности проверки связи с сервером.

При успешной проверки связи с сервером появится сообщение вида:

Добавление групп пользователей

После добавления источника идентификации кнопка "Добавить" примет значение "Далее". Так же можно выполнить переход нажав на надпись , откроется страница:

Элементы управления:

- добавить группу.

 - удалить выбранные чекбоксом группы (неактивно, пока не выбран хоть одна группа).

После нажатия на кнопку  откроется меню:

• "Добавить новую группу" - создать произвольную новую группу.
• "Выбрать группы из службы каталогов" - добавить группы из источника идентификации.

Добавить новую группу

В данном окне представлен следующий параметр:

• "Имя" * - произвольное имя группы.

* - поля, обязательные для заполнения.

После заполнения имени группы станет активна кнопка "Добавить". Требуется нажать её для добавления группы.

Выбрать группы из службы каталогов

В данном окне представлен следующие параметры:

• "Фильтр" * - фильтр для поиска групп, по умолчанию "*", можно ввести название группы.
• "Получить данные" - получить данные с учетом фильтра

После получения данных по группам:

Требуется выбрать чекбоксом слева требуемые группы и нажать кнопку "Сохранить".

Добавление атрибутов

После добавления групп можно нажать кнопку "Далее" внизу справа экрана. Так же можно выполнить переход нажав на надпись , откроется страница:

Элементы управления:

- добавить атрибуты.

 - удалить выбранные чекбоксом атрибуты (неактивно, пока не выбран хоть один атрибут).

После нажатия на кнопку  откроется меню:

• "Добавить новый атрибут" - создать произвольный новый атрибут.
• "Выбрать атрибут из службы каталогов" - добавить атрибут из источника идентификации.

Добавить новый атрибут

В данном окне представлены следующие параметры:

• "Имя" * - произвольное имя атрибута, которое будет отображаться в словаре.
• "Внутреннее наименование" * - имя атрибута из источника идентификации.
• "Тип" * - тип атрибута. Возможные значения: "INTEGER" - числовой, "IP_4_ADDR" - адрес IPv4, "STRING" - строковый. По умолчанию выбран тип "STRING".

* - поля, обязательные для заполнения.

После заполнения необходимых параметров станет активна кнопка "Добавить". Требуется нажать её для добавления атрибута.

Выбрать атрибут из службы каталогов

В данном окне представлен следующие параметры:

• "Фильтр" * - фильтр для поиска атрибутов, по умолчанию "distinguishedName=*". В качестве фильтра можно использовать выражения "<Атрибут>=<значение>", если значение не важно надо указать "*". Если у атрибута есть несколько значений - отображается только первое найденное. При выполнении поиска в LDAP как правило можно указать "uid=*" или "givenName=*".
• "Получить данные" - получить данные с учетом фильтра.

После получения данных по атрибутам:

Требуется выбрать чекбоксом слева требуемые атрибуты и нажать кнопку "Сохранить".

Ограничения реализации

Есть следующие ограничения реализации взаимодействия с LDAP:

• Пароль пользователя должен хранится в ClearText.
• В именах пользователей и их паролях допускаются только латинские символы, цифры, знаки препинания.

Редактирование источника идентификации

Для редактирования ранее добавленного источника идентификации на странице просмотра нажмите на наименование источника в таблице:

Откроется страница редактирования:

После редактирования нажмите на . Кнопка будет неактивной пока не будет изменено хотя бы одно поле.

Удаление источника идентификации

Для удаления одного или нескольких источников идентификации необходимо на странице просмотра через чекбокс выбрать необходимые источники:

и в правом верхнем углу над таблицей нажать на .

Нажать "Да" в окне подтверждения действия:

После этого выбранные источники идентификации будут удалены.

Раздел "Цепочки идентификаций"

Просмотр цепочек идентификаций

На данной странице содержится таблица со списком всех цепочек идентификаций. Цепочки используются в политиках аутентификации при настройке набора политик доступа.

В качестве источников пользователей поддержана внутренняя база данных.

Таблица содержит колонки:

• "Название" - название цепочки.
• "Описание" - произвольное описание цепочки.
• "Источники идентификации" - список источников учетных данных пользователей, которые настроены в данной цепочке.

Возможна сортировка в прямом и обратном порядке по колонкам "Название" и "Описание". По умолчанию сортировка выполняется в прямом (алфавитном,) порядке по полю "Название".

Элементы управления:

 - выполняется регистронезависимая фильтрация по всем колонкам "Название" и "Описание" - отображаются только записи, удовлетворяющие условию фильтрации.

- обновить данные таблицы.

- счетчик выбранных чекбоксом элементов / общего количества элементов.

- добавить цепочку.

 - удалить выбранные чекбоксом цепочки (неактивно, пока не выбрана хоть одна цепочка).

- изменить текущий порядок сортировки.

 - чекбокс, который отвечает за выбор цепочек для выполнения дальнейших действий (например, удаления).

Добавление цепочки идентификаций

Для добавления цепочки идентификаций  в правой части поля над таблицей страницы просмотра, откроется следующая страница:

Для заполнения доступны следующие параметры:

• "Название" * - название цепочки. Максимальная длина - 100 символов.
• "Описание" - произвольное описание группы. Максимальная длина - 200 символов.

* - поля, обязательные для заполнения.

Для выбора источника учетных данных пользователей захватите его курсором мышки за поле  и переместите его из левой колонки раздела "Список источников аутентификации" в правую.

Элементы управления:

- выбрать все доступные источники аутентификации.

- удалить все выбранные источники аутентификации.

Редактирование цепочки идентификаций

Для редактирования нажмите на название цепочки идентификаций в таблице.

Откроется страница редактирования:

После редактирования нажмите . Кнопка будет неактивной пока не будет внесено хотя бы одно изменение.

Удаление цепочки идентификаций

Для удаления одной или нескольких цепочек идентификации необходимо выбрать их через чекбокс

и в правом верхнем углу над таблицей нажать на .

Нажать "Да" в окне подтверждения действия:

После этого выбранные цепочки будут удалены.