Definicja serwera uwierzytelnienia zewnętrznego

Aby dodać serwer uwierzytelnienia Active Directory, LDAP, Cerb lub Radius, postępuj zgodnie z poniższymi krokami.

  1. Wybierz Ustawienia > Uwierzytelnienie.

  2. Wybierz zakładkę Uwierzytelnienie zewnętrzne.

  3. Kliknij Dodaj Uwierzytelnienie zewnętrzne.

  4. Podaj nazwę dla tej konkretnej konfiguracji.

  5. Wybierz Bind address - adres IP używany do wysyłania żądań do określonego hosta.

Uwaga

W przypadku konfiguracji klastra wybierz oznaczony adres IP z listy rozwijanej Bind address i upewnij się, że inne węzły mają przypisane adresy IP do tej etykiety. Więcej informacji znajdziesz w temacie Etykietowane adresy IP.

  1. W sekcji Ogólne wybierz typ usługi uwierzytelnienia: Active Directory, LDAP, CERB lub Radius.

../../_images/5-5-external-auth.png

  1. Podaj parametry konfiguracji w zależności od wybranego typu zewnętrznego systemu uwierzytelniania. Szczegóły konfiguracji zostały opisane w kolejnych sekcjach.

  2. Kliknij Zapisz.


Opisy pól i konfiguracja w zależności od wybranej metody

Active Directory

Parametr

Opis

Domena Active Directory

Domena, w oparciu o którą będzie wykonywane uwierzytelnienie w serwerze Active Directory.

TLS włączony

Ta opcja jest konieczna do zaznaczenia, aby użytkownicy domenowi mogli zmieniać hasło na Portalu Użytkownika.

Certifikat CA

Dostępny, gdy aktywowana jest opcja TLS włączony.

Login konta uprzywilejowanego

Login konta uprzywilejowanego do zmiany hasła użytkownika domenowego na serwerze Active Directory.

Sekret

Sekret do nawiązywania połączeń do zmiany hasła użytkownika domenowego na serwerze Active Directory.

Dodaj drugi czynnik

Dodatkowy krok weryfikacji za pomocą metod uwierzytelnienia OATH, SMS lub DUO. Patrz: Drugi czynnik uwierzytelnienia.

Uwaga

  • Uwierzytelnienie przy użyciu Kerberosa jest pierwszym krokiem w przypadku korzystania z metody zewnętrznego uwierzytelnienia Active Directory.

  • Ta funkcjonalność jest domyślnie włączona.

  • Zapoznaj się z rozdziałem Ustawienia uwierzytelniania Kerberos, aby dowiedzieć się, jak wyłączyć to uwierzytelnienie.

  • Jeśli uwierzytelnianie w Active Directory zostanie pomyślnie przeprowadzone za pomocą Kerberosa, skonfigurowany certyfikat nie zostanie użyty, ponieważ jest wykorzystywany tylko wtedy, gdy wymagane jest przejście na uwierzytelnianie za pomocą LDAP.

../../_images/5-6-auth-ad.png

LDAP

Parametr

Opis

Host

Adres IP serwera.

Port

Numer portu, na którym nasłuchuje usługa LDAP.

Bind DN

Miejsce w strukturze katalogowej, w której zawarte są definicje użytkowników uwierzytelnianych w usłudze LDAP. Przykład: dc=example,dc=com, cn=username,dc=example,dc=com, lub z wykorzystaniem zmiennej: cn=##username##,dc=example,dc=com.

TLS włączony

Ta opcja jest konieczna do zaznaczenia, aby użytkownicy domenowi mogli zmieniać hasło na Portalu Użytkownika.

Certifikat serwera / Certifikat CA

Certyfikat serwera LDAP lub certyfikat CA. Dostępne, gdy aktywowana jest opcja TLS włączony.

Dodaj drugi czynnik

Dodatkowy krok weryfikacji za pomocą metod uwierzytelnienia OATH, SMS lub DUO. Patrz: Drugi czynnik uwierzytelnienia.
../../_images/ldap_structure.png

Uwaga

Wartość pola Bind DN może zawierać podstawienie zmiennej, umożliwiające dynamiczne tworzenie DN na podstawie nazwy użytkownika logującego się do systemu, na przykład: cn=##username##,dc=example,dc=com.

W takim przypadku, podczas konfigurowania użytkownika, pozostaw pole LDAP Base puste w Zarządzanie > Użytkownicy > zakładka Dane użytkownika.

Poniższy przykład przedstawia scenariusz, w którym dane uwierzytelniające sprawdzane są na serwerze LDAP, dostępnym pod adresem 10.0.0.2, na domyślnym numerze portu usługi LDAP tj. 389. Definicja użytkownika znajduje się pod ścieżką dc=example,dc=com.

../../_images/5-6-auth-ldap.png

CERB

Parametr

Opis

Host

Adres IP serwera.

Port

Numer portu, na którym nasłuchuje usługa CERB.

Service (NAS ID)

Serwis w systemie CERB w oparciu o który będzie uwierzytelniany użytkownik.

Sekret

Sekret wykorzystywany do połączeń z serwerem. Sekret odpowiada hasłu zdefiniowanemu podczas konfiguracji klienta RADIUS w systemie CERB.

Dodaj drugi czynnik

Dodatkowy krok weryfikacji za pomocą metod uwierzytelnienia OATH, SMS lub DUO. Patrz: Drugi czynnik uwierzytelnienia.
../../_images/5-6-auth-cerb.png

Uwaga

Pole domena ADkonfiguracji użytkownika jest uwzględniane w początkowym pakiecie Access-Request używanym do uwierzytelnienia użytkownika na serwerze RADIUS/Cerb.

  • Jeśli pole domena AD jest wypełnione:

    • Dla RADIUS wartość domena AD zostaje dołączona do nazwy użytkownika w polu User-Name w formacie: {nazwa}@{domena_ad}.

    • Dla Cerb pole MS-CHAP-Domain zostaje ustawione na wartość domena AD, a pole User-Name zawiera tylko {nazwa}.

  • Jeśli domena AD nie jest wypełnione, pole User-Name w pakiecie Access-Request dla obu metod zawiera jedynie nazwę użytkownika: {nazwa}.

Radius

Parametr

Opis

Host

Adres IP serwera.

Port

Numer portu, na którym nasłuchuje usługa RADIUS.

NAS ID

Parametr, który zostanie przekazany w atrybucie NAS-Identifier do serwera RADIUS.

Sekret

Sekret serwera RADIUS służący szyfrowaniu haseł użytkowników.

Dodaj drugi czynnik

Dodatkowy krok weryfikacji za pomocą metod uwierzytelnienia OATH, SMS lub DUO. Patrz: Drugi czynnik uwierzytelnienia.
../../_images/5-6-auth-radius.png

Uwaga

  • Należy pamiętać, że podczas konfigurowania uwierzytelnienia Radius w Fudo Enterprise obsługiwany jest tylko Password Authentication Protocol (PAP).

  • Przeczytaj również uwagi dotyczące metody Cerb.

Przypisywanie zewnętrznej metody uwierzytelniania do użytkownika

  1. Wybierz Zarządzanie > Użytkownicy.

  2. Znajdź i kliknij definicję użytkownika, do którego chcesz przypisać zewnętrzną metodę uwierzytelniania (np. admin).

  3. Przejdź do zakładki Dane użytkownika i w polu Baza LDAP określ lokalizację obiektu tego użytkownika w strukturze katalogu (np. cn=admin,dc=example,dc=com).

Uwaga

Pozostaw pole Baza LDAP puste, jeśli w konfiguracji zewnętrznego źródła uwierzytelnienia podana została pełna ścieżka miejsca przechowywania kont użytkowników w drzewie katalogów (cn=##username##,dc=example,dc=com).

  1. Aby dodać metodę uwierzytelniania, wróć do zakładki Ustawienia i wybierz Uwierzytelnienie zewnętrzne z listy rozwijanej Dodaj metodę uwierzytelnienia.

  2. Wybierz metodę i kliknij Zapisz.

  3. Kliknij Zapisz i zamknij, aby zapisać definicję użytkownika.

Drugi czynnik uwierzytelnienia

Jeśli w konfiguracji zewnętrznego serwera uwierzytelniania wybrany został dodatkowy krok weryfikacji (opcja Dodaj drugi czynnik) przy użyciu metod uwierzytelnienia OATH, SMS lub DUO, wtedy jako metodę uwierzytelnienia w konfiguracji użytkownika należy wybrać metodę wskazaną jako drugi składnik, a następnie w oknie jej konfiguracji wybrać Uwierzytelnienie zewnętrzne jako pierwszy składnik.


  1. Wybierz Zarządzanie > Użytkownicy.

  2. Znajdź i kliknij definicję użytkownika, do którego chcesz przypisać zewnętrzną metodę uwierzytelniania (np. admin).

  3. Przejdź do zakładki Dane użytkownika i w polu Baza LDAP określ lokalizację obiektu tego użytkownika w strukturze katalogu (np. cn=admin,dc=example,dc=com).

Uwaga

Pozostaw pole Baza LDAP puste, jeśli lokalizacja przechowywania kont użytkowników została określona w konfiguracji serwera LDAP (cn=##username##,dc=example,dc=com).

  1. Aby dodać zewnętrzną metodę uwierzytelniania z drugim składnikiem, wróć do zakładki Ustawienia i z listy rozwijanej Dodaj metodę uwierzytelnienia wybierz nazwę metody użytej w konfiguracji (np. SMS).

  2. W oknie modalnym wybierz Uwierzytelnienie zewnętrzne jako pierwszy składnik uwierzytelniania.

  3. Z listy Wybierz metodę wybierz zewnętrzną metodę uwierzytelniania skonfigurowaną z drugim składnikiem, zgodnie ze scenariuszem opisanym powyżej.

  4. Skonfiguruj parametry drugiego składnika.

../../_images/5-6-auth-second-factor-modal.png

  1. Kliknij Zapisz.

  2. Kliknij Zapisz i zamknij, aby zapisać definicję użytkownika.

../../_images/5-6-auth-second-factor.png

Tematy pokrewne: