Предварительная настройка

Требования к Active Directory

  • Минимальная версия контроллера Active Directory: Windows Server 2008 R2.
  • Использование протокола NTLM контроллером Active Directory, на котором выполняется авторизация пользователей должна быть разрешена.

Требования к хосту, на котором разворачивается NAICE

DNS-сервер, который будет использоваться хостом с установленным NAICE должен обеспечивать:

  • разрешение полного имени домена (например test.loc), в котором будет работать NAICE;
  • разрешение полного имени контроллеров AD (например srv1.test.loc) обслуживающих домен;
  • возвращать ответ на DNS-запрос типа SRV со списком контроллеров обслуживающих домен.

Как правило используется DNS-сервер входящий в состав домена.

Все IP-адреса, которые могут возвращаться как адреса домена или контроллеров домена должны быть доступны с хоста на котором установлен NAICE.

Список портов для взаимодействия с Active Directory:

ПротоколПортНазначениеПримечания
UDP53DNSСервер, отвечающий за разрешение доменных имен.
TCP389LDAPДля выполнения поиска данных о пользователях и группах в домене.
TCP3268LDAPМожно использовать вместо порта 389, если нет леса деревьев.
TCP49152-65535RPC Dynamic Port RangeДля выполнения аутентификации пользователей по протоколу netlogon (MS-NRPC).

Требования к учетным данным Active Directory, которые будут использоваться NAICE для взаимодействия с доменом

  1. Требуется создать учетную запись пользователя, который будет использоваться NIACE для взаимодействия с Active Directory.  Данная учетная запись должна обеспечивать:
    1. Возможность поиска в Active Directory.
    2. Возможность получать информацию о всех атрибутах пользователей и группах домена.

      В настройках пользователя необходимо отключить опцию "Требовать смену пароля при первом подключении" (включена по умолчанию).

  2. Требуется создать учетную запись компьютера, которая будет использоваться для взаимодействия с Active Directory. Данная учетная запись должна иметь пароль. Задать пароль компьютера на сервере с MS Active Directory можно командой в оболочке PowerShell, входящей в состав Active Directory, запущенной с правами администратора: 
    Set-ADAccountPassword -Identity Computer-Name$ -Reset
    и два раза ввести пароль в окне терминала. Если требуется указать пароль явно в команде:
    Set-ADAccountPassword -Identity Computer-name$ -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "password" -Force)
    1. Имя компьютера необходимо указывать без доменной части, с окончанием на "$".
    2. Пароль должен отвечать требованиям сложности, настроенным в MS AD.

Настройка NAICE

Подробная информация о настройках для каждого раздела содержится во встроенной документации, которую можно просмотреть, нажав кнопку  вверху справа.

Добавление сетевого устройства

Необходимо:

  1. Настроить сетевое устройство для взаимодействие с NAICE по протоколу RADIUS в соответствии с инструкцией производителя.
  2. Добавить сетевое устройство и его профиль в NAICE.

Открыть раздел Администрирование → Сетевые ресурсы → Устройства и нажать (слева в верхней части страницы). Откроется окно добавления сетевого устройства:

Нажать Сохранить после заполнения настроек.

Создание источника идентификации

Открыть раздел Администрирование → Управление идентификацией → Внешние источники идентификации и нажать . Откроется окно добавления внешнего источника идентификаций:

Настройка структурно разделена на блоки.

  • Имя - произвольное наименование источника идентификаций.

Блок "Схема"

  • Схема - "ACTIVE_DIRECTORY".

Схема "ACTIVE_DIRECTORY" имеет предустановленную структуру, которая не может быть изменена.

Блок "Подключение"

  • Имя домена - короткое имя домена, в котором будет выполняться аутентификация. Без "." и конечной части. Поле доступно только при выборе схемы "ACTIVE_DIRECTORY".
  • Имя компьютера - имя компьютера для, без доменной части. Компьютер должен быть предварительно добавлен администратором в Active Directory. Поле доступно только при выборе схемы "ACTIVE_DIRECTORY".
  • Пароль компьютера - пароль, который был задан компьютеру администратором после добавления компьютера. Поле доступно только при выборе схемы "ACTIVE_DIRECTORY".

    Пароль компьютера в Active Directory задается администратором после создания компьютера с использованием PowerShell. Подробнее "как задать пароль компьютера".

  • Admin dn - имя пользователя, который будет использоваться для обращения в Active Directory. Пользователь должен быть предварительно добавлен администратором в Active Directory. Имя пользователя можно задавать в форматах:
  • Admin password - пароль пользователя.
  • FQDN - полное имя домена, в котором будет выполняться аутентификация пользователей, например test.loc. Так же можно указать предпочтительный контроллер домена, который будет использоваться для обращений, например srv1.test.loc.
  • Port - порт подключения к контроллеру домена по протоколу LDAP. Как правило используется порт 389.

Блок "Структура каталога"

  • Subject search base - строка поиска атрибутов пользователей в Active Directory по протоколу LDAP, например dc=test,dc=loc.
  • Group search base - строка поиска групп в Active Directory по протоколу LDAP, например dc=test,dc=loc.

При необходимости ограничить поиск определенными подразделениями можно указать их в строке поиска, например: ou=naice,dc=example,dc=org . Если подразделения является вложенным для другого подразделения необходимо перечислить их все до корня домена, начиная с требуемого подразделения, например: ou=test,ou=naice,dc=example,dc=org .

После заполнения настроек необходимо нажать кнопку "Проверить связь с сервером". Если настройки корректны, появится сообщение:

Нажать кнопку Добавить.

Добавить источник идентификаций можно независимо от успешности проверки связи с сервером.

Более подробно о настраиваемых параметрах можно узнать во встроенной документации .

Добавление групп

Добавление групп не является обязательным и требуется только если планируется использовать их в условиях политик авторизации.

После добавления источника идентификаций кнопка Добавить смениться на кнопку Далее. Можно нажать её, что бы перейти в раздел Группы или нажать наверху страницы на 2 Группы и добавить группы, которые предполагается использовать в политиках авторизации:

Нажать кнопку Получить данные и выбрать группы, которые требуется добавить. В данном примере добавляем группу Гости домена.

При необходимости найти определенную группу надо в поле Фильтр ввести имя группы. При необходимости можно добавить "*" в начале или конце названия группы, что позволит выполнить поиск по словосочетанию.

После выбора необходимых групп нажать кнопку Сохранить.

Добавление атрибутов пользователей

Добавление атрибутов пользователей не является обязательным и требуется только если планируется использовать их в профилях авторизации или в условиях политик авторизации.

Атрибуты пользователей можно использовать для выдачи значении определенных параметров получая их значения из Active Directory. Далее рассматривается добавление атрибута Active Directory physicalDeliveryOfficeName который содержит значение, которое будут использоваться в качестве cVLAN. Следует иметь ввиду, что можно использовать любые атрибуты, которые содержат требуемые значения, но сам атрибут должен быть один и тот же для всех пользователей.

Перейти в раздел Атрибуты и добавить атрибут, значение которого будет использоваться для выдачи cVLAN. Следует иметь ввиду, что атрибуты, которые не имеют значений, при поиске в Active Dirtectory не возвращаются. При получении списка доступных атрибутов требуется обязательно задать фильтр с указанием имени пользователя, атрибуты которого точно содержат требуемые значения. Рекомендуется использовать фильтры: userPrincipalName=<UPN имя пользователя> или sAMAccountName=<логин пользователя>. Для пользователя в приведенном ниже примере в атрибуте Active Directory Комната (physicalDeliveryOfficeName) задано значение 1000, которое будет использоваться в качестве cVLAN:

После выбора необходимых атрибутов нажать кнопку Сохранить.

Нажав справа от добавленного атрибута кнопку , можно изменить поле Имя на другое, т. к. именно оно будет отображаться при работе с LDAP-словарем, на более понятное.  В поле Значение по умолчанию указать номер VLAN, который будет использоваться для выдачи в случае если он не задан в атрибутах пользователя в Active Directory. Значение полей Тип и Внутреннее наименование не меняются:

После этого сохранить новое значение, нажав кнопку справа от атрибута строки с параметрами атрибута.

Создание цепочки идентификаций с использованием ранее созданного источника идентификации

Открыть раздел Администрирование → Управление идентификацией → Цепочки идентификации и нажать кнопку :

После создания цепочки идентификации с использованием ранее созданного источника нажать кнопку Добавить.

Создание профиля авторизации с использованием ранее созданного атрибута

Открыть раздел Политики доступа → Элементы → Профили авторизации и нажать кнопку . Откроется окно создания профиля авторизации:

Необходимо ввести:

  • Имя - название профиля
  • Профиль устройства - надо выбрать профиль сетевого устройства тот же, что используется в настройках сетевого устройства, с которого будет выполняться авторизация клиента.

В блоке "Общие задачи" необходимо включить галочку настройки VLAN, после этого нажать на кнопку выбора атрибута справа . В раскрывшемся окне выбрать словарь с именем ранее созданного источника идентификации:

Если выбор VLAN не активен, значит либо не выбран профиль сетевого устройства или в выбранном профиле сетевого устройства в блоке "Разрешения" не включена настройка Настроить VLAN.


В словаре выбрать ранее созданный атрибут cVLAN:

И сохранить профиль авторизации, нажав кнопку Добавить:

Настройка политик

В разделе Политики доступа → Наборы политик все RADIUS-запросы перейти в политику по умолчанию Default нажав кнопку справа от нее:

Если в политиках не выполнялись настройки - все RADIUS-запросы будут обрабатываться в политике по умолчанию Default, которая всегда будет последней и не может быть удалена. Но настройка её параметров и содержащихся в ней политик аутентификации и авторизации возможна.

Провалившись в политику в блоке "Политика аутентификации" изменить настройку Цепочки идентификации для политики аутентификации по умолчанию Default на ранее созданную цепочку Active Directory 1:



Далее, в блоке "Политика авторизации" нажать кнопку слева и в появившейся новой политике авторизации в настройке Условия нажать кнопку : откроется редактор условий.

В открывшемся редакторе условий нажать кнопку в поле Атрибут.  Далее в открывшемся окне под "Выбор атрибута для условия" нажать кнопку (LDAP) для отображения только атрибутов словарей типа LDAP и выбрать атрибут ExternalGroups из словаря AD - окно закроется, в поле Атрибут будет выбрано "AD-ExternalGroups". Далее выбрать Оператор "Равно". нажать на поле Атрибут/значение и выбрать ранее импортированную из Active Directory группу "CN=Гости домена...":

Нажать кнопку Использовать внизу справа редактора условий.

В настройке Профили авторизации выбрать ранее созданный профиль "Профиль 1":

После этого станет активна кнопка Сохранить. Нажать на неё и сохранить настройки политики.

На этом минимальная настройка, необходимая для авторизации клиентов с использованием источника идентификации Active Directory выполнена. Для успешной авторизации клиенту потребуется находиться в группе "Гости домена" Active Directory.


Проверка подключения

Подробнее настройка клиентского конечного устройства для подключения описана в v0.8_8. Настройка подключения клиента.

Выполнение аутентификации пользователя в Active Directory возможна только по протоколам MSCHAPv2, EAP-PEAP-MSCHAPv2 и EAP-TLS.

Аутентификация с использованием протокола EAP-PEAP-GTC не поддерживается!

Подключить клиентское устройство и после авторизации перейти в раздел Мониторинг → RADIUS → Пользовательские сессии:

Для подробного просмотра информации о сессии необходимо в колонке "Подробнее" нажать кнопку :


  • Нет меток