(поправить ссылки перед публикацией)
В системе NAICE можно переопределить пароль сетевого пользователя, используя значение любого доступного атрибута пользователя, задействованного в действующей LDAP-схеме.
Переопределение пароля пользователя позволяет системе NAICE использовать в качестве источника проверки пароля любой атрибут LDAP-пользователя, вместо стандартного атрибута userPassword. Пароль в выбранном атрибуте можно хранить как в открытом виде, так и в виде NTLM-hash.
После переназначения, NAICE будет использовать выбранный атрибут в качестве единственного источника пароля при аутентификации пользователя. |
Настройка включает три основных этапа:
Данная инструкция предполагает, что настройка службы каталогов в качестве внешнего источника идентификации уже выполнена по одной из инструкций, в зависимости от используемой службы каталогов:
После успешной настройки внешнего источника необходимо выгрузить требуемый атрибут из службы каталогов. Для этого вернитесь к редактированию внешнего источника, перейдите во вкладку «Атрибуты» и нажмите иконку добавления нового атрибута:
Добавьте атрибут вручную или выгрузите его из службы каталогов. В примере использован атрибут naiceUserPassword, он был добавлен в схему LDAP вручную и после сохранения доступен в списке:
Далее необходимо перейти в раздел «Доступ к сети» → «Элементы политик» → «Профили авторизации» и спуститься до блока настроек "Расширенные настройки атрибутов"
В качестве атрибута выбрать INTERNAL_RADIUS:Cleartext-Password = <внешний источник LDAP>:<наименование атрибута> , если пароль пользователя в атрибуте LDAP хранится в открытом виде. Пример:
Либо INTERNAL_RADIUS:NT-Password = <внешний источник LDAP>:<наименование атрибута> , если пароль пользователя в атрибуте LDAP хранится в виде NT-hash (NTLM). Пример:
Настройка политики RADIUS на данном этапе должна быть уже выполнена по одной из инструкций, в зависимости от используемой службы каталогов.:
Подробнее с политиками RADIUS можно ознакомиться во внутренней документации в WEB-интерфейсе NAICE.
Для назначения профиля авторизации необходимо перейти в раздел "Доступ к сети" - "Политики RADIUS", затем провалиться в набор политик который необходимо отредактировать нажатием на символ 
, и перейти к блоку "Политика авторизации". Далее выбрать в выпадающем меню созданный профиль авторизации, и нажать "Сохранить".
После сохранения настроек для аутентификации пользователя будет использоваться значение из выбранного атрибута. |
Для проверки в тестовом LDAP был создан и добавлен в схему новый атрибут "naiceUserPassword", а также создан пользователь "testuser".
В новый атрибут пользователю добавлено значение "testPassword", которое будет использовано в качестве пароля для доступа к сети:
На ПК-клиенте выполнить подключение к сети, указав учетные данные пользователя:
После авторизации перейти в раздел Мониторинг → RADIUS → Пользовательские сессии:
Для подробного просмотра информации о сессии необходимо в колонке "Подробнее" нажать кнопку 
, успешная авторизация будет отображаться статусом ACCEPTED:
