1.0-rc2 0.8.2 0.7.3 0.6.0

Авторизация#

Angie ADC поддерживает ролевое разграничение доступа к функциям системы. Пользователям может быть назначена одна из следующих ролей:

  • Администратор: обладает полными правами на все действия в системе;

  • Супервизор: может только просматривать информацию в системе.

Поддерживается два типа авторизации пользователей:

  • Локальная авторизация.

    Роли для локальных пользователей назначаются при их создании и хранятся локально в системе. По умолчанию в Angie ADC предустановлен локальный системный пользователь admin с правами администратора.

  • Внешняя авторизация.

    Роли для внешних пользователей определяются через внешнего провайдера. Поддерживаются провайдеры RADIUS, TACACS+ и LDAP. Система не хранит данные о ролях внешних пользователей. Принятые решения по внешней авторизации записываются в журналы событий системы. Записи можно экспортировать на внешний syslog-сервер для дальнейшего аудита.

    Совместимость внешних провайдеров аутентификации и авторизации:

    Провайдер аутентификации

    Совместимые провайдеры авторизации

    RADIUS

    RADIUS, LDAP, TACACS+

    LDAP

    LDAP, TACACS+

    TACACS

    LDAP, TACACS+

    Примечание

    Одновременно поддерживается использование только одного провайдера. При добавлении нового провайдера настройки предыдущего провайдера сбрасываются.

В этой статье:

LDAP-авторизация#

Роли внешних пользователей определяются на основе принадлежности к LDAP-группам.

Чтобы настроить LDAP-авторизацию для внешних пользователей, необходимо:

  • включить внешнюю аутентификацию;

  • включить внешнюю авторизацию и подключить LDAP-сервер;

  • задать настройки сервисной учетной записи для подключения Angie ADC к LDAP-серверу;

  • задать базовый DN и фильтры для поиска пользователей и групп на LDAP-сервере;

  • настроить соответствие LDAP-групп и ролей пользователей в Angie ADC.

Примечание

На стороне LDAP-сервера также должны быть настроены пользователи, группы и сервисная учетная запись для Angie ADC.

Настройка LDAP-авторизации#

  1. Откройте веб-интерфейс Angie ADC. В панели навигации перейдите СистемаАутентификация и авторизация.

    Откроется страница с настройками аутентификации и авторизации для внешних пользователей.

  2. В блоке Внешняя авторизация переведите переключатель Включить внешнюю авторизацию в положение "включено" и выберите провайдера авторизации LDAP.

  3. Задайте параметры подключения к серверу:

    • Сервер: IP-адрес или доменное имя LDAP-сервера.

    • Порт: порт подключения к LDAP-серверу (по умолчанию 389).

  4. Укажите параметры защиты соединения: TLS (LDAPS) или startTLS, если необходимо использовать безопасное соединение при подключении к серверу.

  5. В блоке Сервисная учетная запись (bind) укажите DN учетной записи, с которой будет выполняться подключение к LDAP-серверу. Можно использовать учетную запись администратора LDAP-сервера, например cn=admin,dc=example,dc=com.

  6. Если требуется, установите флажок Подключаться с паролем и укажите пароль сервисной учетной записи.

  7. В блоке Поиск и роли укажите следующие параметры:

    • Базовый DN пользователей, например ou=users,dc=example,dc=com;

    • Фильтр поиска пользователей, например (uid=%s);

    • Базовый DN групп, например ou=groups,dc=example,dc=com;

    • Фильтр поиска групп, например (member=%s).

  8. В блоке Маппинг LDAP-групп и ролей нажмите Добавить правило и задайте соответствие LDAP-групп пользователей ролям в Angie ADC. Например, если на LDAP-сервере для администраторов создана группа dn: cn=<group_name>,ou=groups,dc=example,dc=com, то укажите значение cn=<group_name>,ou=groups,dc=example,dc=com в поле DN группы и выберите роль Администратор (admin).

  9. Нажмите Сохранить.

Внешняя авторизация будет настроена и включена. При входе внешнего пользователя в систему на LDAP-сервере будет выполняться поиск групп, в которых он состоит. Если найденные группы совпадают с группами, указанными в маппинге, то пользователю будет назначена соответствующая роль. Если пользователь не найден ни в одной из групп или LDAP-группы недоступны или некорректны, доступ к системе будет запрещен.

TACACS-авторизация#

Роли для внешних пользователей определяются на основе соответствия атрибутам этих пользователей в TACACS+.

Чтобы настроить TACACS-авторизацию для внешних пользователей, необходимо:

  • включить внешнюю аутентификацию;

  • включить внешнюю авторизацию и подключить TACACS-сервер;

  • настроить соответствие атрибутов TACACS+ ролям пользователей в Angie ADC.

На стороне TACACS-сервера также должны быть настроены пользователи и их атрибуты.

Пример настройки:

group = admin {
    service = shell {
        set priv-lvl = 15
    }
}

user = admin {
    password = clear admin
    member = admin
}

Настройка TACACS-авторизации#

  1. Откройте веб-интерфейс Angie ADC. В панели навигации перейдите СистемаАутентификация и авторизация.

    Откроется страница с настройками аутентификации и авторизации для внешних пользователей.

  2. В блоке Внешняя авторизация переведите переключатель Включить внешнюю авторизацию в положение "включено" и выберите провайдера авторизации TACACS.

  3. Задайте параметры подключения к серверу:

    • Адрес: IP-адрес или доменное имя TACACS-сервера.

    • Порт: порт подключения к TACACS-серверу (по умолчанию 49).

    • Секрет: общий секрет для шифрования паролей.

  4. Укажите в порядке приоритета атрибуты ролей пользователя в TACACS+, например priv-lvl, затем role. По этим атрибутам Angie ADC будет определять роль для пользователя.

  5. Укажите, какой сервис и протокол будут использоваться в запросе на авторизацию (AUTHOR). Параметры зависят от выбранного сервера. Например, для TACACS+ рекомендуется указать service=shell и protocol=ip.

  6. Задайте соответствие значений атрибутов TACACS+ ролям в Angie ADC, например priv-lvl=15Администратор или role=adc-adminАдминистратор.

  7. Нажмите Сохранить.

Внешняя авторизация будет настроена и включена. При входе внешнего пользователя в систему на TACACS-сервер будет отправлен запрос на авторизацию. Если атрибуты и значения в ответе TACACS совпадают с указанными в маппинге, то пользователю будет назначена соответствующая роль в Angie ADC. Если полученные данные не совпадают с указанными в маппинге или TACACS-сервер недоступен, доступ к системе будет запрещен.

RADIUS-авторизация#

Роли для внешних пользователей определяются на основе соответствия атрибутам этих пользователей в RADIUS.

Примечание

RADIUS-авторизация доступна только при аутентификации через RADIUS, так как система получает информацию о роли пользователя в момент логина.

Чтобы настроить RADIUS-авторизацию для внешних пользователей, необходимо:

  • включить внешнюю аутентификацию через RADIUS;

  • включить внешнюю авторизацию через RADIUS;

  • настроить соответствие атрибутов RADIUS ролям пользователей в Angie ADC.

Допускается использование следующих атрибутов ролей:

  • Filter-Id — роль пользователя.

  • Class — группа, к которой относится пользователь.

  • Tunnel-Private-Group-ID — VLAN ID (используется для VLAN-авторизации).

  • VSA — Vendor-Specific в формате vsa:<vendorID>:<vendorType> (например vsa:9:1).

На стороне RADIUS-сервера также должны быть настроены пользователи и их атрибуты.

Пример:

user1 Cleartext-Password := "P@ssword"
    Filter-Id := "adc-admin",
    Service-Type := Administrative-User,
    Cisco-AVPair := "shell:priv-lvl=15",
    Reply-Message := "Welcome, Admin",
    Class := "AdminGroup",
    Tunnel-Type := VLAN,
    Tunnel-Medium-Type := IEEE-802,
    Tunnel-Private-Group-ID := "100"

user2 Cleartext-Password := "P@ssword"
    Filter-Id := "adc-readonly",
    Service-Type := NAS-Prompt-User,
    Cisco-AVPair := "shell:priv-lvl=7",
    Reply-Message := "Welcome, Supervisor",
    Class := "SupervisorGroup",
    Tunnel-Type := VLAN,
    Tunnel-Medium-Type := IEEE-802,
    Tunnel-Private-Group-ID := "200"

Настройка RADIUS-авторизации#

  1. Откройте веб-интерфейс Angie ADC. В панели навигации перейдите СистемаАутентификация и авторизация.

    Откроется страница с настройками аутентификации и авторизации для внешних пользователей.

  2. В блоке Внешняя авторизация переведите переключатель Включить внешнюю авторизацию в положение "включено" и выберите провайдера авторизации RADIUS.

  3. Укажите атрибут роли пользователя в RADIUS, например Filter-Id, vsa:9:1 или другой используемый атрибут. По этому атрибуту Angie ADC будет определять роль для пользователя.

  4. Задайте соответствие значений атрибутов RADIUS ролям в Angie ADC, например для Filter-Id укажите adc-adminАдминистратор, а при использовании vsa:9:1 укажите shell:priv-lvl=15Администратор.

  5. Нажмите Сохранить.

Внешняя авторизация будет настроена и включена. При входе внешнего пользователя в систему через RADIUS будут получены атрибуты его роли. Если атрибуты и значения совпадают с указанными в маппинге, то пользователю будет назначена соответствующая роль в Angie ADC. Если данные не совпадают с указанными в маппинге или RADIUS-сервер недоступен, доступ к системе будет запрещен.

Выключение внешней авторизации#

  1. Откройте веб-интерфейс Angie ADC. В панели навигации перейдите СистемаАутентификация и авторизация.

    Откроется страница с настройками аутентификации и авторизации для внешних пользователей.

  2. В блоке Внешняя авторизация переведите переключатель Включить внешнюю авторизацию в положение "выключено".

Внешняя авторизация будет отключена. При входе в систему для внешних пользователей будет отображаться сообщение, что доступ запрещен.