Раздел Серверы авторизации позволяет произвести настройку LDAP-коннектора, серверов RADIUS, TACACS+, NTLM, SAML IDP. Настройка серверов авторизации производится на уровне users auth-servers и будет рассмотрена далее в соответствующих разделах.
Для сброса авторизации пользователя по IP-адресу используется команда:
Admin@UGOS# set settings usersession terminate <ip>
12.8.3.1. Настройка LDAP-коннектора¶
Настройка LDAP-коннектора производится на уровне users auth-servers ldap.
Для создания LDAP-коннектора используется команда:
Admin@UGOS# create users auth-servers ldap
Далее необходимо указать следующие параметры:
|
Параметр |
Описание |
|---|---|
|
name |
Имя LDAP-коннектора. |
|
enabled |
Включение/отключение сервера авторизации. |
|
description |
Описание LDAP-коннектора. |
|
ssl |
Определяет:
|
|
address |
IP-адрес контроллера или название домена LDAP. |
|
bind-dn |
Имя пользователя, которое будет использоваться для подключения к серверу; указывается в формате DOMAIN\username или username@domain. Пользователь должен быть заведён в домене. |
|
password |
Пароль пользователя для подключения к домену. |
|
domains |
Список доменов, которые обслуживаются указанным контроллером домена. |
|
search-roots |
Список путей в сервере LDAP, начиная с которых система будет осуществлять поиск пользователей и групп. Необходимо указывать полное имя, например, ou=Office,dc=example,dc=com. Если пути поиска не указаны, то поиск производится по всему каталогу, начиная от корня. |
Команда для обновления информации о существующем LDAP-коннекторе имеет следующую структуру:
Admin@UGOS# set users auth-servers ldap <ldap-server-name>
Параметры, доступные для обновления, аналогичны параметрам создания LDAP-коннектора.
Для удаления LDAP-коннектора используется команда:
Admin@UGOS# delete users auth-servers ldap <ldap-server-name>
Также возможно удаления отдельных параметров LDAP-коннектора. Для удаления доступны следующие параметры:
-
domains.
-
search-roots.
Структура команды для отображения информации о LDAP-коннекторе:
Admin@UGOS# show users auth-servers ldap <ldap-server-name>
12.8.3.2. Настройка RADIUS-сервера¶
Настройка RADIUS-сервера производится на уровне users auth-servers radius.
Для создания сервера авторизации RADIUS используется команда со следующей структурой:
Admin@UGOS# create users auth-servers radius
Далее необходимо указать следующие параметры:
|
Параметр |
Описание |
|---|---|
|
name |
Имя RADIUS-сервера. |
|
enabled |
Включение/отключение сервера авторизации. |
|
description |
Описание сервера авторизации. |
|
secret |
Общий ключ, используемый протоколом RADIUS для авторизации. |
|
addresses |
IP-адрес и UDP-порт, на котором сервер RADIUS слушает запросы (по умолчанию порт 1812); указывается в формате <ip:port>. |
Следующая команда используется для обновления информации о сервере RADIUS:
Admin@UGOS# set users auth-servers radius <radius-server-name>
Параметры, которые могут быть обновлены, соответствуют параметрам, указание которых возможно при создании сервера авторизации.
Для удаления сервера:
Admin@UGOS# delete users auth-servers radius <radius-server-name>
Также возможно удаления отдельных параметров RADIUS-сервера. Для удаления доступны следующие параметры:
-
addresses.
Структура команды для отображения информации о RADIUS-сервере:
Admin@UGOS# show users auth-servers radius <radius-server-name>
12.8.3.3. Настройка сервера TACACS+¶
Настройка сервера TACACS+ производится на уровне users auth-servers tacacs.
Для создания сервера авторизации TACACS+ используется команда со следующей структурой:
Admin@UGOS# create users auth-servers tacacs
Далее необходимо указать следующие параметры:
|
Параметр |
Описание |
|---|---|
|
name |
Имя сервера TACACS+. |
|
enabled |
Включение/отключение сервера авторизации. |
|
description |
Описание сервера авторизации. |
|
secret |
Общий ключ, используемый протоколом TACACS+ для авторизации. |
|
address |
IP-адрес сервера TACACS+. |
|
port |
UDP-порт, на котором сервер TACACS+ слушает запросы на авторизацию. По умолчанию это порт UDP 1812. |
|
single-connection |
Использовать одно TCP-соединение для работы с сервером TACACS+. |
|
timeout |
Время ожидания сервера TACACS+ для получения авторизации. По умолчанию 4 секунды. |
Следующая команда используется для обновления информации о сервере TACACS+:
Admin@UGOS# set users auth-servers tacacs <tacacs-server-name>
Параметры, которые могут быть обновлены, соответствуют параметрам, указание которых возможно при создании сервера авторизации.
Для удаления сервера:
Admin@UGOS# delete users auth-servers tacacs <tacacs-server-name>
Структура команды для отображения информации о сервере TACACS+:
Admin@UGOS# show users auth-servers tacacs <tacacs-server-name>
12.8.3.4. Настройка сервера NTLM¶
Настройка сервера NTLM производится на уровне users auth-servers ntlm.
Для создания сервера авторизации NTLM используется команда со следующей структурой:
Admin@UGOS# create users auth-servers ntlm
Далее необходимо указать следующие параметры:
|
Параметр |
Описание |
|---|---|
|
name |
Имя NTLM-сервера. |
|
enabled |
Включение/отключение сервера авторизации. |
|
description |
Описание сервера авторизации. |
|
win-domain |
Имя домена Windows. |
Следующая команда используется для обновления информации о NTLM-сервере:
Admin@UGOS# set users auth-servers ntlm <ntlm-server-name>
Параметры, которые могут быть обновлены, аналогичны с параметрами команды создания сервера авторизации.
Для удаления сервера:
Admin@UGOS# delete users auth-servers ntlm <ntlm-server-name>
Структура команды для отображения информации о сервере NTLM:
Admin@UGOS# show users auth-servers ntlm <ntlm-server-name>
12.8.3.5. Настройка сервера SAML IDP¶
Настройка сервера SAML IDP производится на уровне users auth-servers saml-idp.
Для создания сервера авторизации SAML IDP используется следующая команда:
Admin@UGOS# create users auth-servers saml-idp
Далее необходимо указать следующие параметры:
|
Параметр |
Описание |
|---|---|
|
name |
Название сервера SAML IDP. |
|
enabled |
Включение/отключение сервера авторизации. |
|
description |
Описание сервера авторизации. |
|
metadata-url |
URL на сервере SAML IDP, где можно скачать xml-файл с корректной конфигурацией для сервис-провайдера (клиента) SAML. |
|
certificate |
Сертификат, который будет использован в SAML-клиенте. |
|
sso-url |
URL, используемая в сервере SAML IDP в качестве единой точки входа. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации. |
|
sso-binding |
Метод, используемый для работы с единой точкой входа SSO. Возможны варианты POST и Redirect. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации. |
|
slo-url |
URL, используемый в сервере SAML IDP в качестве единой точки выхода. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации. |
|
slo-binding |
Метод, используемый для работы с единой точкой выхода SSO. Возможны варианты POST и Redirect. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации. |
Следующая команда используется для обновления информации о сервере SAML IDP:
Admin@UGOS# set users auth-servers saml-idp <saml-idp-server-name>
Параметры, которые могут быть обновлены, аналогичны с параметрами команды создания сервера авторизации.
Для удаления сервера:
Admin@UGOS# delete users auth-servers saml-idp <saml-idp-server-name>
Структура команды для отображения информации о сервере SAML IDP:
Admin@UGOS# show users auth-servers saml-idp <saml-idp-server-name>