12.8.4. Настройка профилей авторизации

Настройка профилей авторизации производится на уровне users auth-profile.

Для создания профиля авторизации используется следующая команда:

Admin@UGOS# create users auth-profile

Далее необходимо указать следующие параметры:

Параметр

Описание

name

Название профиля MFA.

description

Описание профиля MFA.

mfa

Указание профиля мультифакторной аутентификации (если её необходимо использовать). Для указания профиль MFA должен быть создан заранее. Подробнее о создании профилей MFA с использованием интерфейса командной строки читайте в разделе Настройка профилей MFA (мультифакторной аутентификации).

idle-time

Время бездействия до отключения; указывается в секундах. Через указанный промежуток времени при отсутствии активности пользователь перейдёт в статус Unknown user.

expiration-time

Время жизни авторизованного пользователя; указывается в секундах. Через указанный промежуток времени пользователь перейдёт в статус Unknown user; необходима повторная авторизация пользователя на Captive-портале.

max-attempts

Число неудачных попыток авторизации через Captive-портал до блокировки учётной записи пользователя.

lockout-time

Время, на которое блокируется учетная запись пользователя при достижении указанного числа неудачных попыток авторизации; указывается в секундах.

auth-method

Метод аутентификации:

  • local-user-auth: авторизация по базе данных локально заведенных пользователей.

  • policy-accept: не требуется авторизация, но, прежде чем получить доступ в интернет, пользователь должен согласиться с политикой использования сети; применяется совместно с профилем Captive-портала, в котором используется страница авторизации Captive portal policy.

  • http-basic: авторизация с помощью метода HTTP Basic.

  • ldap: авторизация с использованием LDAP-коннектора.

  • radius: авторизация с использованием RADIUS-сервера.

  • tacacs: авторизация с использованием сервера TACACS+.

  • ntlm: авторизация с использованием NTLM-сервера.

  • saml-idp: авторизация с использованием сервера SAML IDP.

Следующая команда предназначена для обновления настроек профилей авторизации:

Admin@UGOS# set users auth-profile <auth-profile-name>

Для обновления доступен список параметров, аналогичный списку параметров команды create.

Через интерфейс командной строки возможно удаления всего профиля или отдельных способов авторизации, заданных в профиле. Для этого используются следующие команды.

Для удаления профиля авторизации:

Admin@UGOS# delete users auth-profile <auth-profile-name>

Для удаления методов авторизации, заданных в профиле, необходимо указать метод авторизации (доступные методы авторизации перечислены в таблице выше):

Admin@UGOS# delete users auth-profile <auth-profile-name> auth-method