DNS-сервер, который будет использоваться хостом с установленным NAICE, должен обеспечивать:
test.loc), в котором будет работать NAICE;srv1.test.loc), обслуживающих домен;Как правило используется DNS-сервер, входящий в состав домена. |
Все IP-адреса, которые могут возвращаться как адреса домена или контроллеров домена, должны быть доступны с хоста, на котором установлен NAICE.
Список портов для взаимодействия с Active Directory:
| Протокол | Порт | Назначение | Примечания |
|---|---|---|---|
| UDP | 53 | DNS | Сервер, отвечающий за разрешение доменных имен. |
| TCP | 389 | LDAP | Для выполнения поиска данных о пользователях и группах в домене. |
| TCP | 3268 | LDAP | Можно использовать вместо порта 389, если нет леса деревьев. |
| TCP | 49152-65535 | RPC Dynamic Port Range | Для выполнения аутентификации пользователей по протоколу netlogon (MS-NRPC). |
В настройках пользователя необходимо отключить опцию " |
PowerShell, входящей в состав Active Directory, запущенной с правами администратора: Set-ADAccountPassword -Identity Computer-Name$ -Reset |
Set-ADAccountPassword -Identity Computer-name$ -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "password" -Force) |
|
Подробная информация о настройках для каждого раздела содержится во встроенной документации, которую можно просмотреть, нажав кнопку |
Необходимо:
Открыть раздел Администрирование → Сетевые ресурсы → Устройства и нажать 
(слева в верхней части страницы). Откроется окно добавления сетевого устройства:
Нажать Добавить после заполнения настроек.
Открыть раздел Администрирование → Управление идентификацией → Внешние источники идентификации и нажать . Откроется окно добавления внешнего источника идентификаций:
Настройка структурно разделена на блоки.
Имя - произвольное наименование источника идентификаций.Блок "Схема"
Схема - "ACTIVE_DIRECTORY".Схема "ACTIVE_DIRECTORY" имеет предустановленную структуру, которая не может быть изменена. |
Блок "Подключение"
Имя домена - короткое имя домена, в котором будет выполняться аутентификация. Без "." и конечной части. Поле доступно только при выборе схемы "ACTIVE_DIRECTORY".Имя компьютера - имя компьютера для, без доменной части. Компьютер должен быть предварительно добавлен администратором в Active Directory. Поле доступно только при выборе схемы "ACTIVE_DIRECTORY".Пароль компьютера - пароль, который был задан компьютеру администратором после добавления компьютера. Поле доступно только при выборе схемы "ACTIVE_DIRECTORY".Пароль компьютера в Active Directory задается администратором после создания компьютера с использованием PowerShell. Подробнее "как задать пароль компьютера". |
Admin dn - имя пользователя, который будет использоваться для обращения в Active Directory. Пользователь должен быть предварительно добавлен администратором в Active Directory. Имя пользователя можно задавать в форматах:Admin password - пароль пользователя.FQDN - полное имя домена, в котором будет выполняться аутентификация пользователей, например test.loc. Так же можно указать предпочтительный контроллер домена, который будет использоваться для обращений, например srv1.test.loc.Port - порт подключения к контроллеру домена по протоколу LDAP. Как правило используется порт 389.Блок "Структура каталога"
Subject search base - строка поиска атрибутов пользователей в Active Directory по протоколу LDAP, например dc=test,dc=loc.Group search base - строка поиска групп в Active Directory по протоколу LDAP, например dc=test,dc=loc.При необходимости ограничить поиск определенными подразделениями можно указать их в строке поиска, например: |
После заполнения настроек необходимо нажать кнопку "Проверить связь с сервером". Если настройки корректны, появится сообщение:
Нажать кнопку Добавить.
Добавить источник идентификаций можно независимо от успешности проверки связи с сервером. |
Более подробно о настраиваемых параметрах можно узнать во встроенной документации 
.
Добавление групп не является обязательным и требуется только если планируется использовать их в условиях политик авторизации. |
После добавления источника идентификаций кнопка Добавить смениться на кнопку Далее. Можно нажать её, чтобы перейти в раздел Группы или нажать наверху страницы на 
Группы и добавить группы, которые предполагается использовать в политиках авторизации:
Нажать кнопку Получить данные и выбрать группы, которые требуется добавить. В данном примере добавлена группа Гости домена.
При необходимости найти определенную группу необходимо в поле Фильтр ввести имя группы. При необходимости можно добавить "*" в начале или конце названия группы, что позволит выполнить поиск по частичному совпадению.
|
После выбора необходимых групп нажать кнопку Сохранить.
Добавление атрибутов пользователей не является обязательным и требуется только если планируется использовать их в профилях авторизации или в условиях политик авторизации. |
Атрибуты пользователей можно использовать для выдачи значении определенных параметров получая их значения из Active Directory. Далее рассматривается добавление атрибута Active Directory physicalDeliveryOfficeName который содержит значение, которое будут использоваться в качестве cVLAN. Следует иметь ввиду, что можно использовать любые атрибуты, которые содержат требуемые значения, но сам атрибут должен быть один и тот же для всех пользователей.
Перейти в раздел Атрибуты и добавить атрибут, значение которого будет использоваться для выдачи cVLAN. Следует иметь ввиду, что атрибуты, которые не имеют значений, при поиске в Active Dirtectory не возвращаются. При получении списка доступных атрибутов требуется обязательно задать фильтр с указанием имени пользователя, атрибуты которого точно содержат требуемые значения. Рекомендуется использовать фильтры: userPrincipalName=<UPN имя пользователя> или sAMAccountName=<логин пользователя>. Для пользователя в приведенном ниже примере в атрибуте Active Directory Комната (physicalDeliveryOfficeName) задано значение 1000, которое будет использоваться в качестве cVLAN:
После выбора необходимых атрибутов нажать кнопку Сохранить.
Нажав справа от добавленного атрибута кнопку 
, можно изменить поле Имя на другое более понятное, так как именно оно будет отображаться при работе с LDAP-словарем. В поле Значение по умолчанию указать номер VLAN, который будет использоваться для выдачи в случае, если он не задан в атрибутах пользователя в Active Directory. Значение полей Тип и Внутреннее наименование не меняются:
После этого сохранить новое значение, нажав кнопку 
справа от атрибута строки с параметрами атрибута.
Открыть раздел Администрирование → Управление идентификацией → Цепочки идентификации и нажать кнопку :
После создания цепочки идентификации с использованием ранее созданного источника нажать кнопку Добавить.
Открыть раздел Политики → Элементы → Профили авторизации и нажать кнопку . Откроется окно создания профиля авторизации:
Необходимо ввести:
Имя - название профиляПрофиль устройства - крайне важно выбрать профиль сетевого устройства тот же, что используется в настройках сетевого устройства, с которого будет выполняться авторизация клиента.В блоке "Общие задачи" необходимо включить галочку настройки VLAN, после этого нажать на кнопку выбора атрибута справа 
. В раскрывшемся окне выбрать ранее созданный атрибут cVLAN:
Если выбор |
И сохранить профиль авторизации, нажав кнопку Добавить:
В разделе Политики доступа → Наборы политик из коробки настроено два набора политик: Test policy set, служащий для демонстрации как могут быть настроены наборы политик, и Default, определяющий поведение в случае если входящий RADIUS-запрос не подходит ни под одно условие вышестоящих наборов политик. Таким образом набор политик Test policy set может быть удален или отредактирован.
Необходимо изменить Условие набора политик на подходящее (например, по равенству RADIUS-атрибута NAS-IP-address в запросе адресу ранее добавленного сетевого устройства), а затем перейти в детальное редактирование набора политик, нажав 
справа от него:
Если в наборах политик не выполнялись настройки, то все RADIUS-запросы будут обрабатываться в политике по умолчанию Default, которая всегда будет последней и не может быть удалена. Данный набор политик предполагает отказ в авторизации, но данное поведение также можно изменить. |
Провалившись в набор политик, в блоке "Политика аутентификации" изменить настройку Цепочки идентификации для правила по умолчанию Default на ранее созданную цепочку Active Directory 1:
Далее, в блоке "Политика авторизации" нажать кнопку в шапке таблицы и в появившейся новом правиле политики авторизации в колонке Условия нажать кнопку 
. После этого:
в поле Атрибут.
для отображения только атрибутов словарей типа LDAP, ExternalGroups из словаря AD. Окно закроется, в поле Атрибут будет выбрано "AD·ExternalGroups".Оператор "Равно".Атрибут/значение и выбрать ранее импортированную из Active Directory группу.
В настройке Профили авторизации выбрать ранее созданный профиль:
После этого станет активна кнопка Сохранить. Нажать на неё и сохранить настройки политики.
На этом минимальная настройка, необходимая для авторизации клиентов с использованием источника идентификации Active Directory, выполнена. Для успешной авторизации клиенту потребуется находиться в указанной группе Active Directory. |
Подробнее настройка клиентского конечного устройства для подключения описана в v1.0_8. Настройка подключения клиента.
Выполнение аутентификации пользователя в Active Directory возможна только по протоколам MSCHAPv2, EAP-PEAP-MSCHAPv2 и EAP-TLS. Аутентификация с использованием других протоколов, в том числе EAP-PEAP-GTC, не поддерживается! Машинная аутентификация поддержана только по протоколу EAP-TLS, см. v1.0_4.7.1 Настройка "машинной" авторизации EAP-TLS (по сертификату компьютера) при интеграции с Active Directory. |
Подключить клиентское устройство и после авторизации перейти в раздел Мониторинг → RADIUS → Пользовательские сессии:
Для подробного просмотра информации о сессии необходимо в колонке "Подробнее" нажать кнопку 
:
