Создание правила доступа (ACL) на основе RADIUS

Описание процесса создания RADIUS ACL

Правило доступа на основе RADIUS (Remote Authentication Dial-In User Service) применяется для настройки аутентификации пользователя на портале по логину и паролю без использования LDAP.

  1. Введите в систему параметры RADIUS-сервера: External Services > RADIUS Servers > Servers > Add RADIUS Server.


    Добавление RADIUS-сервера
    Прим.: Обратите внимание на параметры атрибутов вендоров, которые будут необходимы в дальнейшем, установите, где нужно флажки .
  2. Введите атрибуты вендоров VSA (англ. Vendor-specific attributes). Атрибуты вендоров необходимы для предоставления пользователям различных типов прав доступа. Эти атрибуты можно применять совместно с атрибутами RADIUS. VSA содержат произвольную пару: Ключ ↔ Значение, где ключ содержит в себе информацию о собственно вендоре и идентификаторе, а ключ значение различных типов (String).
    1. Переходим на вкладку External Services > RADIUS Servers > Vendors .


    2. По умолчанию уже доступны базовые наборы атрибутов вендеров по умолчанию (default) и атрибуты КриптоПро (CryptoPro).


      Прим.: Кнопка Restore Ctypto-Pro vendor возвращает в систему набор атрибутов вендора КриптоПро, если тот был удалён.
    3. Для ввода в систему нового RADIUS вендора нажмите Add RADIUS Vendor.


    4. Введите имя Vendor name и идентификатор вендора Vendor identifier. Затем введите атрибуты. Это можно сделать двумя способами: ,.
      • по одному в поле Vendor Specific Attributes (VSA), введите Имя (Name), ID и тип (type) атрибута, нажмите добавить Add;

      • ввести списком. Нажмите Import Vendor, вставьте в поле данные вендора, которые можно найти в документации вендора в файле описания RADIUS dictionaries, нажмите Import;

    5. После завершения нажмите
  3. Выполните основные настройки портала:
  4. Введите настройки RADIUS ACL.
    1. Перейдите в настройки ACL конфигурации: Clusters > <Имя кластера> > All configurations > <Имя конфигурации> > ACLs.


    2. Нажмите RADIUS ACL для создания нового списка ограничения доступа.


    3. Введите параметры RADIUS ACL: имя в системе, / запретить или разрешить регулярные соответствия. Правила доступа для атрибутов вендоров. Введите правила в поля групп с ограничением доступа Forbid Groups или разрешением доступа Allow Groups. Введите наименование атрибута в левом столбце — появится выпадающее меню с доступными атрибутами.


  5. Выполните привязку RADIUS-сервера к порталу и настройте параметры авторизации. Перейдите на настраиваемый портал: Clusters > <Имя кластера> > All configurations > <Имя конфигурации> > Portals > <Имя портала>.
    1. На вкладке Credentials в поле Auth preset выберите подходящие параметры авторизации из предустановленных и задайте необходимые в параметрах особой авторизации Custom Auth. Например, выберите Certificate(OIDs) и уберите флажок в поле Certificate: Require Client's certificate.


      Прим.: Обратите внимание на различие между полями Accounting RADIUS server и Authorization RADIUS servers, используемых для других настроек.
    2. Выполните привязку RADIUS-сервера аутентификации в поле Auth preset в Authentication RADIUS server нажмите Assign.


    3. Выберите нужный сервер с помощью радио кнопки и нажмите .


  6. Созданный набор ACL RADIUS может быть использован для создания правила доступа к ресурсам на портале. Перейдите на ресурсы настраиваемого портала: Clusters > <Имя кластера> > All configurations > <Имя конфигурации> > Portals > <Имя портала> > Resources.
    1. Привяжите новый веб-ресурс к порталу или создайте правило для динамических туннелей. Нажмите Attach web resources или Add rule.


    2. Настройте параметра доступа к ресурсам, используя группы доступа RADIUS ACL.


    Создание правил доступа к веб-ресурсам и gRPC-ресурсам на HTTP-портале
    Создание правил доступа к динамическим туннельным ресурсам
  7. Опубликуйте конфигурацию.
    Публикация конфигурации