Подключение внешних пользователей через RADIUS#

Вы можете включить и настроить аутентификацию и авторизацию для внешних пользователей через RADIUS. Пользователям может быть назначена одна из следующих ролей:

  • Администратор: обладает полными правами на все действия в системе;

  • Супервизор: может только просматривать информацию в системе.

Роли для внешних пользователей определяются на основе соответствия атрибутам этих пользователей в RADIUS.

Примечание

RADIUS-авторизация доступна только при аутентификации через RADIUS.

Для подключения внешних пользователей к системе вам необходимо:

  1. включить внешнюю аутентификацию через RADIUS и задать настройки сервера;

  2. включить внешнюю авторизацию через RADIUS и задать настройки сервера;

  3. настроить соответствие атрибутов RADIUS ролям пользователей в Angie ADC.

На стороне RADIUS-сервера также должны быть настроены пользователи и их атрибуты.

Пример настройки:

user1 Cleartext-Password := "P@ssword"
    Filter-Id := "adc-admin",
    Service-Type := Administrative-User,
    Cisco-AVPair := "shell:priv-lvl=15",
    Reply-Message := "Welcome, Admin",
    Class := "AdminGroup",
    Tunnel-Type := VLAN,
    Tunnel-Medium-Type := IEEE-802,
    Tunnel-Private-Group-ID := "100"

user2 Cleartext-Password := "P@ssword"
    Filter-Id := "adc-readonly",
    Service-Type := NAS-Prompt-User,
    Cisco-AVPair := "shell:priv-lvl=7",
    Reply-Message := "Welcome, Supervisor",
    Class := "SupervisorGroup",
    Tunnel-Type := VLAN,
    Tunnel-Medium-Type := IEEE-802,
    Tunnel-Private-Group-ID := "200"

Предупреждение

Необходимо настроить и включить оба блока: аутентификацию и авторизацию. Если один из блоков не настроен или выключен, внешние пользователи не смогут получить доступ к системе.

Шаги#

  1. Откройте веб-интерфейс Angie ADC. В панели навигации перейдите в раздел СистемаАутентификация и авторизация.

    Откроется страница с настройками аутентификации и авторизации для внешних пользователей.

    Angie ADC - экран "RADIUS"
  2. Включите переключатель Включить внешнюю аутентификацию и выберите провайдера аутентификации RADIUS.

    Примечание

    Одновременно поддерживается использование только одного провайдера внешней аутентификации. При добавлении нового провайдера аутентификации настройки предыдущего провайдера сбрасываются.

  3. Укажите следующие параметры:

    • Сервер: IP-адрес или доменное имя RADIUS-сервера.

    • Порт: порт подключения к RADIUS-серверу (по умолчанию 1812).

    • Протокол: протокол передачи данных: UDP или TCP (по умолчанию: UDP).

    • NAS-идентификатор: идентификатор NAS (Network Access Server), передаваемый серверу RADIUS.

    • Метод аутентификации: поддерживается только PAP.

    • Секрет: общий секрет для шифрования паролей.

  4. Нажмите Сохранить.

    Внешняя аутентификация с использованием RADIUS будет включена.

  5. В блоке Внешняя авторизация переведите переключатель Включить внешнюю авторизацию в положение "включено" и выберите провайдера авторизации RADIUS.

  6. Укажите атрибут роли пользователя в RADIUS, например Filter-Id, vsa:9:1 или другой используемый атрибут. По этому атрибуту Angie ADC будет определять роль для пользователя.

    Допускается использование следующих атрибутов ролей:

    • Filter-Id — роль пользователя.

    • Class — группа, к которой относится пользователь.

    • Service-Type — тип сервиса, по которому определяется роль пользователя (Administrative, Login и др.)

    • Tunnel-Private-Group-ID — VLAN ID (используется для VLAN-авторизации).

    • VSA — Vendor-Specific в формате vsa:<vendorID>:<vendorType> (например vsa:9:1).

  7. Задайте соответствие значений атрибутов RADIUS ролям в Angie ADC, например для Filter-Id укажите adc-adminАдминистратор, а при использовании vsa:9:1 укажите shell:priv-lvl=15Администратор.

  8. Нажмите Сохранить.

Внешняя авторизация через RADIUS будет настроена и включена. При входе внешнего пользователя в систему через RADIUS будут получены атрибуты его роли. Если атрибуты и значения совпадают с указанными в маппинге, то пользователю будет назначена соответствующая роль в Angie ADC. Если данные не совпадают с указанными в маппинге или RADIUS-сервер недоступен, доступ к системе будет запрещен.