DNS-сервер, который будет использоваться хостом с установленным NAICE должен обеспечивать:
test.loc), в котором будет работать NAICE;srv1.test.loc) обслуживающих домен;Как правило используется DNS-сервер входящий в состав домена. |
Все IP-адреса, которые могут возвращаться как адреса домена или контроллеров домена должны быть доступны с хоста на котором установлен NAICE.
Список портов для взаимодействия с Active Directory:
| Протокол | Порт | Назначение | Примечания |
|---|---|---|---|
| UDP | 53 | DNS | Сервер, отвечающий за разрешение доменных имен. |
| TCP | 389 | LDAP | Для выполнения поиска данных о пользователях и группах в домене. |
| TCP | 3268 | LDAP | Можно использовать вместо порта 389, если нет леса деревьев. |
| TCP | 49152-65535 | RPC Dynamic Port Range | Для выполнения аутентификации пользователей по протоколу netlogon (MS-NRPC). |
В настройках пользователя необходимо отключить опцию " |
PowerShell, входящей в состав Active Directory, запущенной с правами администратора: Set-ADAccountPassword -Identity Computer-Name$ -Reset |
Set-ADAccountPassword -Identity Computer-name$ -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "password" -Force) |
|
Подробная информация о настройках для каждого раздела содержится во встроенной документации, которую можно просмотреть, нажав кнопку |
Необходимо:
Открыть раздел Администрирование → Сетевые ресурсы → Устройства и нажать 
(слева в верхней части страницы). Откроется окно добавления сетевого устройства:
Нажать Сохранить после заполнения настроек.
Открыть раздел Администрирование → Управление идентификацией → Внешние источники идентификации и нажать . Откроется окно добавления внешнего источника идентификаций:
Настройка структурно разделена на блоки.
Имя - произвольное наименование источника идентификаций.Блок "Схема"
Схема - "ACTIVE_DIRECTORY".Схема "ACTIVE_DIRECTORY" имеет предустановленную структуру, которая не может быть изменена. |
Блок "Подключение"
Имя домена - короткое имя домена, в котором будет выполняться аутентификация. Без "." и конечной части. Поле доступно только при выборе схемы "ACTIVE_DIRECTORY".Имя компьютера - имя компьютера для, без доменной части. Компьютер должен быть предварительно добавлен администратором в Active Directory. Поле доступно только при выборе схемы "ACTIVE_DIRECTORY".Пароль компьютера - пароль, который был задан компьютеру администратором после добавления компьютера. Поле доступно только при выборе схемы "ACTIVE_DIRECTORY".Пароль компьютера в Active Directory задается администратором после создания компьютера с использованием PowerShell. Подробнее "как задать пароль компьютера". |
Admin dn - имя пользователя, который будет использоваться для обращения в Active Directory. Пользователь должен быть предварительно добавлен администратором в Active Directory. Имя пользователя можно задавать в форматах:Admin password - пароль пользователя.FQDN - полное имя домена, в котором будет выполняться аутентификация пользователей, например test.loc. Так же можно указать предпочтительный контроллер домена, который будет использоваться для обращений, например srv1.test.loc.Port - порт подключения к контроллеру домена по протоколу LDAP. Как правило используется порт 389.Блок "Структура каталога"
Subject search base - строка поиска атрибутов пользователей в Active Directory по протоколу LDAP, например dc=test,dc=loc.Group search base - строка поиска групп в Active Directory по протоколу LDAP, например dc=test,dc=loc.При необходимости ограничить поиск определенными подразделениями можно указать их в строке поиска, например: |
После заполнения настроек необходимо нажать кнопку "Проверить связь с сервером". Если настройки корректны, появится сообщение:
Нажать кнопку Добавить.
Добавить источник идентификаций можно независимо от успешности проверки связи с сервером. |
Более подробно о настраиваемых параметрах можно узнать во встроенной документации 
.
Добавление групп не является обязательным и требуется только если планируется использовать их в условиях политик авторизации. |
После добавления источника идентификаций кнопка Добавить смениться на кнопку Далее. Можно нажать её, что бы перейти в раздел Группы или нажать наверху страницы на 2 Группы и добавить группы, которые предполагается использовать в политиках авторизации:
Нажать кнопку Получить данные и выбрать группы, которые требуется добавить. В данном примере добавляем группу Гости домена.
При необходимости найти определенную группу надо в поле Фильтр ввести имя группы. При необходимости можно добавить "*" в начале или конце названия группы, что позволит выполнить поиск по словосочетанию.
|
После выбора необходимых групп нажать кнопку Сохранить.
Добавление атрибутов пользователей не является обязательным и требуется только если планируется использовать их в профилях авторизации или в условиях политик авторизации. |
Атрибуты пользователей можно использовать для выдачи значении определенных параметров получая их значения из Active Directory. Далее рассматривается добавление атрибута Active Directory physicalDeliveryOfficeName который содержит значение, которое будут использоваться в качестве cVLAN. Следует иметь ввиду, что можно использовать любые атрибуты, которые содержат требуемые значения, но сам атрибут должен быть один и тот же для всех пользователей.
Перейти в раздел Атрибуты и добавить атрибут, значение которого будет использоваться для выдачи cVLAN. Следует иметь ввиду, что атрибуты, которые не имеют значений, при поиске в Active Dirtectory не возвращаются. При получении списка доступных атрибутов требуется обязательно задать фильтр с указанием имени пользователя, атрибуты которого точно содержат требуемые значения. Рекомендуется использовать фильтры: userPrincipalName=<UPN имя пользователя> или sAMAccountName=<логин пользователя>. Для пользователя в приведенном ниже примере в атрибуте Active Directory Комната (physicalDeliveryOfficeName) задано значение 1000, которое будет использоваться в качестве cVLAN:
После выбора необходимых атрибутов нажать кнопку Сохранить.
Нажав справа от добавленного атрибута кнопку 
, можно изменить поле Имя на другое, т. к. именно оно будет отображаться при работе с LDAP-словарем, на более понятное. В поле Значение по умолчанию указать номер VLAN, который будет использоваться для выдачи в случае если он не задан в атрибутах пользователя в Active Directory. Значение полей Тип и Внутреннее наименование не меняются:
После этого сохранить новое значение, нажав кнопку 
справа от атрибута строки с параметрами атрибута.
Открыть раздел Администрирование → Управление идентификацией → Цепочки идентификации и нажать кнопку :
После создания цепочки идентификации с использованием ранее созданного источника нажать кнопку Добавить.
Открыть раздел Политики доступа → Элементы → Профили авторизации и нажать кнопку . Откроется окно создания профиля авторизации:
Необходимо ввести:
Имя - название профиляПрофиль устройства - надо выбрать профиль сетевого устройства тот же, что используется в настройках сетевого устройства, с которого будет выполняться авторизация клиента.В блоке "Общие задачи" необходимо включить галочку настройки VLAN, после этого нажать на кнопку выбора атрибута справа 
. В раскрывшемся окне выбрать ранее созданный атрибут cVLAN:
Если выбор |
И сохранить профиль авторизации, нажав кнопку Добавить:
В разделе Политики доступа → Наборы политик все RADIUS-запросы перейти в политику по умолчанию Default нажав кнопку 
справа от нее:
Если в политиках не выполнялись настройки - все RADIUS-запросы будут обрабатываться в политике по умолчанию Default, которая всегда будет последней и не может быть удалена. Но настройка её параметров и содержащихся в ней политик аутентификации и авторизации возможна. |
Провалившись в политику в блоке "Политика аутентификации" изменить настройку Цепочки идентификации для политики аутентификации по умолчанию Default на ранее созданную цепочку Active Directory 1:
Далее, в блоке "Политика авторизации" нажать кнопку 
слева и в появившейся новой политике авторизации в настройке Условия нажать кнопку 
: откроется редактор условий.
В открывшемся редакторе условий нажать кнопку 
в поле Атрибут. Далее в открывшемся окне под "Выбор атрибута для условия" нажать кнопку 
(LDAP) для отображения только атрибутов словарей типа LDAP и выбрать атрибут ExternalGroups из словаря AD - окно закроется, в поле Атрибут будет выбрано "AD-ExternalGroups". Далее выбрать Оператор "Равно". нажать на поле Атрибут/значение и выбрать ранее импортированную из Active Directory группу "CN=Гости домена...":
Нажать кнопку Использовать внизу справа редактора условий.
В настройке Профили авторизации выбрать ранее созданный профиль "Профиль 1":
После этого станет активна кнопка Сохранить. Нажать на неё и сохранить настройки политики.
На этом минимальная настройка, необходимая для авторизации клиентов с использованием источника идентификации Active Directory выполнена. Для успешной авторизации клиенту потребуется находиться в группе " |
Подробнее настройка клиентского конечного устройства для подключения описана в v0.9_8. Настройка подключения клиента.
Выполнение аутентификации пользователя в Active Directory возможна только по протоколам MSCHAPv2, EAP-PEAP-MSCHAPv2 и EAP-TLS. Аутентификация с использованием протокола EAP-PEAP-GTC не поддерживается! Поддержана аутентификация пользователей Active Directory. Машинная аутентификация не поддерживается! |
Подключить клиентское устройство и после авторизации перейти в раздел Мониторинг → RADIUS → Пользовательские сессии:
Для подробного просмотра информации о сессии необходимо в колонке "Подробнее" нажать кнопку 
:
