v1.1_4.1.2 Настройка интеграции с OpenLDAP

Предварительная настройка

1. Установить OpenLDAP, произвести его базовое конфигурирование, добавить пользователей и группы пользователей в соответствии с предпочитаемой схемой.
2. Настроить сетевое устройство на взаимодействие с NAICE по протоколу RADIUS в соответствии с инструкцией производителя.
3. Добавить в NAICE сетевое устройство и его профиль (см. v1.1_4. Быстрый запуск (Quickstart)).
4. Обеспечить возможность сетевого взаимодействия NAICE с сервером LDAP по порту TCP 389 (стандартный порт сервиса LDAP).

Интеграция с OpenLDAP может использоваться:

• в сценариях RADIUS/802.1x, чему посвящено текущее руководство
• в сценариях гостевой авторизации - v1.1_4.7 Настройка Captive Portal
• в сценариях TACACS+ - v1.1_4.9 Настройка TACACS+ аутентификации/авторизации
• в сценариях входа в WEB NAICE - v1.1_4.1.3 Настройка входа в систему через внешний источник

Создание источника идентификации

В отличие от MS Active Directory, в случае с OpenLDAP существует большая вариативность в схемах каталога. Для поддержки схемы конкретного экземпляра LDAP необходимо указать атрибуты, которые отвечают за определение групп, пользователей и связи между ними.

Глобально связь пользователей и групп может быть определена одним из двух вариантов:

• Объект пользователя содержит атрибут, в котором указаны группы пользователя (схема "Пользователи содержат группы");
• В объекте группы содержится атрибут, в котором перечислены члены группы (схема "Группы содержат пользователей").

Рассмотрим примеры настройки для обоих вариантов при следующей структуре каталога:

Для добавления внешнего источника идентификации необходимо открыть раздел Пользователи и устройства → Управление идентификацией → Внешние источники идентификации и нажать кнопку   над таблицей.

Настройка схемы

Схема "Пользователи содержат группы"

Примем, что пользователь и группы содержат следующие атрибуты:

В таком случае настройка схемы внешнего источника может выглядеть следующим образом:

• Выберите схему = CUSTOM - схема, позволяющая гибко настроить описание классов объектов каталога LDAP и их атрибутов;
• Subject object class - класс объекта, соответствующий пользователю. Все объекты данного класса будут рассматриваться Eltex-NAICE как пользователи.
• Subject name attribute - атрибут объекта класса, который содержит имя пользователя. Значение этого атрибута будет использоваться в качестве логина пользователя при авторизации.
• Group object class - класс объекта, соответствующий группе пользователей. Все объекты данного класса будут рассматриваться Eltex-NAICE как группы.
• Group name attribute - атрибут объекта класса, который содержит имя группы. Значение этого атрибута будет использоваться в качестве имени группы при их выгрузке и использовании в сравнении группы пользователя в логическом условии.
• Group map attribute - атрибут пользователя, в котором перечислены группы, членом которых он является. Группы должны быть перечислены в формате значения одного из атрибутов группы.
• Subject in group attribute - определяет атрибут, в формате которого перечислены группы в атрибуте Group map attribute.

Схема "Группы содержат пользователей"

Примем, что пользователь и группы содержат следующие атрибуты:

В таком случае настройка схемы внешнего источника может выглядеть следующим образом:

• Выберите схему = CUSTOM - схема, позволяющая гибко настроить описание классов объектов каталога LDAP и их атрибутов;
• Subject object class - класс объекта, соответствующий пользователю. Все объекты данного класса будут рассматриваться Eltex-NAICE как пользователи.
• Subject name attribute - атрибут объекта класса, который содержит имя пользователя. Значение этого атрибута будет использоваться в качестве логина пользователя при авторизации.
• Group object class - класс объекта, соответствующий группе пользователей. Все объекты данного класса будут рассматриваться Eltex-NAICE как группы.
• Group name attribute - атрибут объекта класса, который содержит имя группы. Значение этого атрибута будет использоваться в качестве имени группы при их выгрузке и использовании в сравнении группы пользователя в логическом условии.
• Group map attribute - атрибут группы, в котором перечислены пользователи, которые являются членом группы. Пользователи должны быть перечислены в формате значения одного из атрибутов пользователя.
• Subject in group attribute - определяет атрибут, в формате которого перечислены пользователи в атрибуте Group map attribute.

Настройка и проверка подключения

Пример настроек блоков настроек Подключение и Структура каталога для описанной структуры каталога:

• Admin dn * - данные административного пользователя для взаимодействия с LDAP (в формате "cn=admin,dc=example,dc=com" );
• Admin password * - пароль административного пользователя. По умолчанию не отображается, для просмотра требуется нажать ;
• Url * - IP-адрес или доменное имя сервера LDAP;
• Port * - порт подключения (как правило для LDAP используется порт 389, для LDAPS обычно используется порт 636);
• Subject search base * - структура для поиска пользователей в домене (имеет формат вида: dc=example,dc=com);
• Group search base * - структура для поиска групп в домене (имеет формат вида: dc=example,dc=com).

После ввода указанных параметров можно провести проверку связи с сервером. Во время проверки связи из LDAP, помимо проверки доступности службы каталогов, высчитывается количество пользователей и групп.

В случае успешной проверки результат будет выглядеть следующим образом:

Для перехода к следующему этапу настройки необходимо нажать Добавить , а затем Далее.

Использование LDAPS (Опционально)

LDAPS (LDAP over SSL/TLS) — это защищённая версия протокола LDAP, используемая для взаимодействия с сервером службы каталогов OpenLDAP. Иными словами LDAPS обеспечивает шифрование соединения между NAICE и службой OpenLDAP.

Для возможности использования LDAPS с целью установки защищенного соединения с внешним источником, необходимо включить опцию "Включить LDAPS", которая доступна здесь:

Также можно включить опцию «Доверять неизвестным источникам», при которой NAICE будет принимать сертификаты внешнего источника, выданные неизвестными центрами сертификации, что не рекомендуется, так как может привести к снижению безопасности соединения со службой каталогов.

Добавление групп пользователей

Добавление групп пользователей не является обязательным, однако позволит более гибко настраивать условия попадания сессии под политики аутентификации и авторизации.

Для добавления групп пользователей необходимо нажать кнопку над таблицей, и в появившемся списке выбрать опцию Выбрать группы из службы каталогов.

В появившемся окне можно по определенному запросу вычитать группы из службы каталогов и добавить все или некоторые из них в систему. После выбора групп для добавления нажмите Сохранить, и они добавятся в список групп этого источника идентификации:

Для перехода к следующему этапу настройки необходимо нажать кнопку Далее.

Добавление атрибутов

Добавление атрибутов в источник не является обязательным, однако позволит назначать в качестве VLAN и ACL пользователю параметры пользователя из LDAP.

Для добавления групп пользователей необходимо нажать кнопку над таблицей, и в появившемся списке выбрать опцию Выбор атрибутов из службы каталогов.

В появившемся окне можно по определенному запросу вычитать атрибуты объектов из службы каталогов и добавить все или некоторые из них в систему. После выбора групп для добавления нажмите Сохранить, и они добавятся в список атрибутов этого источника идентификации.

Для выгруженных атрибутов для удобства можно задать собственное имя в NAICE, которое в дальнейшем будет отображаться при выборе этого атрибута при настройке, например, логического условия. Для перехода в режим редактирования необходимо нажать на , для завершения редактирования и сохранения атрибута - .

Значение по умолчанию будет использоваться для объектов, у которых нет данного атрибута. Если значение по умолчанию не указано, то объекты без этого атрибута будут игнорироваться.

Создание цепочки идентификации с использованием ранее созданного источника идентификации

Открыть раздел Пользователи и устройства → Управление идентификацией → Цепочки идентификации и нажать кнопку над таблицей:

После создания цепочки идентификации с использованием ранее созданного источника нажать кнопку Добавить.

Создание профиля авторизации с использованием ранее созданного атрибута

Открыть раздел Доступ к сети →Элементы политик → Профили авторизации и нажать кнопку над таблицей. В открывшемся окне, после выбора профиля сетевого устройства, в блоке Общие задачи включить галочку VLAN, после этого нажать на кнопку выбора атрибута справа , выбрать словарь с именем ранее созданного источника идентификации, затем - ранее созданный атрибут.

Настройка набора политик

В разделе Доступ к сети →  Политики RADIUS добавить новую политику, в которой условием попадания под данную политику будет, например, NAS-IP-Address равно <IP-адрес устройства>. 

Сохранить новую политику нажав Сохранить и перейти к настройке политик аутентификации и авторизации нажатием кнопки справа от добавленной политики.

Изменить дефолтное правило политики аутентификации для использования созданной цепочки идентификаций:

Добавить политику авторизации, которая использует в качестве условия принадлежность пользователя к ранее созданной группе в источнике идентификации или равенство определенного атрибута, а в качестве профиля авторизации - ранее созданный профиль:

И нажать Сохранить.

Проверка успешности подключения клиента

Подробнее настройка клиентского конечного устройства для подключения описана в v1.1_8. Настройка подключения клиента.

Подключиться клиентом и после авторизации перейти в раздел Мониторинг → RADIUS → Пользовательские сессии:

Для подробно просмотра можно в колонке Подробнее нажать кнопку :