(поправить ссылки перед публикацией)

Описание

В системе NAICE можно переопределить пароль сетевого пользователя, используя значение любого доступного атрибута пользователя, задействованного в действующей LDAP-схеме.

Переопределение пароля пользователя позволяет системе NAICE использовать в качестве источника проверки пароля любой атрибут LDAP-пользователя, вместо стандартного атрибута userPassword. Пароль в выбранном атрибуте можно хранить как в открытом виде, так и в виде NTLM-hash.

После переназначения, NAICE будет использовать выбранный атрибут в качестве единственного источника пароля при аутентификации пользователя.

Настройка

Настройка включает три основных этапа:

  • Настройка внешнего источника идентификации, из которого будет получен необходимый атрибут для переназначения пароля.
  • Настройка профиля авторизации, в котором нужный атрибут будет выбран для переназначения пароля.
  • Настройка политики авторизации, в которой будет назначен настроенный профиль авторизации.

Настройка внешнего источника идентификации

Данная инструкция предполагает, что настройка службы каталогов в качестве внешнего источника идентификации уже выполнена по одной из инструкций, в зависимости от используемой службы каталогов:


После успешной настройки внешнего источника необходимо выгрузить требуемый атрибут из службы каталогов. Для этого вернитесь к редактированию внешнего источника, перейдите во вкладку «Атрибуты» и нажмите иконку добавления нового атрибута:

Добавьте атрибут вручную или выгрузите его из службы каталогов. В примере использован атрибут naiceUserPassword, он был добавлен в схему LDAP вручную и после сохранения доступен в списке:

Настройка профиля авторизации

Далее необходимо перейти в раздел «Доступ к сети» → «Элементы политик» → «Профили авторизации» и спуститься до блока настроек "Расширенные настройки атрибутов"

В качестве атрибута выбрать INTERNAL_RADIUS:Cleartext-Password = <внешний источник LDAP>:<наименование атрибута> , если пароль пользователя в атрибуте LDAP хранится в открытом виде. Пример:

Либо INTERNAL_RADIUS:NT-Password = <внешний источник LDAP>:<наименование атрибута> , если пароль пользователя в атрибуте LDAP хранится в виде NT-hash (NTLM). Пример:

Настройка политики авторизации

Настройка политики RADIUS на данном этапе должна быть уже выполнена по одной из инструкций, в зависимости от используемой службы каталогов.:


Подробнее с политиками RADIUS можно ознакомиться во внутренней документации в WEB-интерфейсе NAICE.

Для назначения профиля авторизации необходимо перейти в раздел "Доступ к сети" - "Политики RADIUS", затем провалиться в набор политик который необходимо отредактировать нажатием на символ , и перейти к блоку "Политика авторизации". Далее  выбрать в выпадающем меню созданный профиль авторизации, и нажать "Сохранить".

После сохранения настроек для аутентификации пользователя будет использоваться значение из выбранного атрибута.

Проверка подключения

Для проверки в тестовом LDAP был создан и добавлен в схему новый атрибут "naiceUserPassword", а также создан пользователь "testuser".

В новый атрибут пользователю добавлено значение "testPassword", которое будет использовано в качестве пароля для доступа к сети:

На ПК-клиенте выполнить подключение к сети, указав учетные данные пользователя:


После авторизации перейти в раздел Мониторинг → RADIUS → Пользовательские сессии:

Для подробного просмотра информации о сессии необходимо в колонке "Подробнее" нажать кнопку , успешная авторизация будет отображаться статусом ACCEPTED:


Возможные ошибки при подключении

  • Введенный при авторизации пароль не совпадает с заданным в атрибуте:

  • Заданный для проверки пароля атрибут отсутствует у пользователя или отсутствует в схеме:









  • Нет меток